System Progressive Protection - ordi bloqué...
Résolu/Fermé
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
-
14 nov. 2012 à 14:32
Utilisateur anonyme - 23 nov. 2012 à 20:14
Utilisateur anonyme - 23 nov. 2012 à 20:14
A voir également:
- System Progressive Protection - ordi bloqué...
- Mon ordi rame que faire - Guide
- Comment reinitialiser un ordi - Guide
- Code puk bloqué - Guide
- Ordi bloque - Guide
- Reboot system now - Guide
122 réponses
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
14 nov. 2012 à 22:12
14 nov. 2012 à 22:12
Bon, mon PC doit bien être une véritable "poubelle numérique"...
ça a bien tourné au début et là c'est de nouveau sur "C:/Documents And Settings/ Administrateur / Cookies" depuis pas mal de temps...
ça a bien tourné au début et là c'est de nouveau sur "C:/Documents And Settings/ Administrateur / Cookies" depuis pas mal de temps...
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
14 nov. 2012 à 22:13
14 nov. 2012 à 22:13
mdr !
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 14/11/2012 à 23:08
Modifié par g3n-h@ckm@n le 14/11/2012 à 23:08
ok
fournis :
C:\Pre_Scan.txt
C:\Pre_Scan\Debug.txt
C:\Pre_Scan\Process\close.log
heberge-les et donne les liens
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
fournis :
C:\Pre_Scan.txt
C:\Pre_Scan\Debug.txt
C:\Pre_Scan\Process\close.log
heberge-les et donne les liens
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
14 nov. 2012 à 23:13
14 nov. 2012 à 23:13
je rappelle que je suis vraiment blonde...
Comment je fais pour héberger ?
Je crois qu'il faut me guider pas à pas.
Comment je fais pour héberger ?
Je crois qu'il faut me guider pas à pas.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
14 nov. 2012 à 23:22
14 nov. 2012 à 23:22
lol
j'adore les blondes ^^
bref....
ouvre ce lien : https://www.cjoint.com/ et parcours ton pc à la recherche des rapports cités au dessus puis une fois les liens obtenus , copie-les dans ta reponse
j'adore les blondes ^^
bref....
ouvre ce lien : https://www.cjoint.com/ et parcours ton pc à la recherche des rapports cités au dessus puis une fois les liens obtenus , copie-les dans ta reponse
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
14 nov. 2012 à 23:44
14 nov. 2012 à 23:44
Alors,
J'ai bien cherché mais je n'ai pas trouvé le 3ème rapport.
Voici les liens pour les deux premiers :
https://www.cjoint.com/?0KoxNSTeKba
https://www.cjoint.com/?0KoxQo1Q2lU
J'espère que cela suffira.
Pour info, quand j'ai recherché les rapports, j'avais relancé mon ordi en mode normal et il avait déjà l'air d'aller un peu mieux (mais je ne doute pas qu'il y ait encore du boulot et je suis ok pour le faire correctement), donc déjà merci ;)
J'ai bien cherché mais je n'ai pas trouvé le 3ème rapport.
Voici les liens pour les deux premiers :
https://www.cjoint.com/?0KoxNSTeKba
https://www.cjoint.com/?0KoxQo1Q2lU
J'espère que cela suffira.
Pour info, quand j'ai recherché les rapports, j'avais relancé mon ordi en mode normal et il avait déjà l'air d'aller un peu mieux (mais je ne doute pas qu'il y ait encore du boulot et je suis ok pour le faire correctement), donc déjà merci ;)
Utilisateur anonyme
14 nov. 2012 à 23:51
14 nov. 2012 à 23:51
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\drivers\atapi.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\drivers\atapi.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
15 nov. 2012 à 00:06
15 nov. 2012 à 00:06
Bon, je ne suis pas certaine d'avoir tout fait comme il faut (je suis un boulet...)
ça ne m'a pas proposé d"envoyer" mais j'ai fait SCAN
ça m'a dit que le fichier avait déjà été scanné à 22h58 (je pense par PRE_SCAN) et je peux aller sur une page de type https, c'est ce lien qu'il faut que je colle ? (ici ou dans cjoint.com ?)
Je repasse dans une dizaine de minutes mais après je file me couchare car je dois me lever tôt. On pourra continuer demain fin d'aprem ou en soirée ?
ça ne m'a pas proposé d"envoyer" mais j'ai fait SCAN
ça m'a dit que le fichier avait déjà été scanné à 22h58 (je pense par PRE_SCAN) et je peux aller sur une page de type https, c'est ce lien qu'il faut que je colle ? (ici ou dans cjoint.com ?)
Je repasse dans une dizaine de minutes mais après je file me couchare car je dois me lever tôt. On pourra continuer demain fin d'aprem ou en soirée ?
Utilisateur anonyme
15 nov. 2012 à 00:12
15 nov. 2012 à 00:12
nan faut cliquer sur "Reanalyze" et me remettre le lien de la barre d'adresse en fin d'analyse
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
15 nov. 2012 à 06:16
15 nov. 2012 à 06:16
Hier soir ça ramait trop
Voici le lien :
https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
Voici le lien :
https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
15 nov. 2012 à 07:01
15 nov. 2012 à 07:01
bizarre cet atapi.sys
Utilisateur anonyme
15 nov. 2012 à 10:08
15 nov. 2012 à 10:08
ouaip ' il est patché
^^==
@saro69 :
sélectionne ce texte :
search::
atapi.sys
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
^^==
@saro69 :
sélectionne ce texte :
search::
atapi.sys
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
15 nov. 2012 à 18:46
15 nov. 2012 à 18:46
Bonjour
Merci de continuer à m'aider.
J'ai fait la manip, et voici le contenu de Pre_Script.txt :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1114 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Administrateur : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Impossible to create restorepoint !!!
Script : 00:08:08
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | File search
Fin : 00:09:06
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Je précise que mon ordi n'est pas à l'heure (il ne retrouve ni la date ni l'heure au démarrage depuis déjà un certain temps...)
Merci de continuer à m'aider.
J'ai fait la manip, et voici le contenu de Pre_Script.txt :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1114 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Administrateur : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Impossible to create restorepoint !!!
Script : 00:08:08
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | File search
Fin : 00:09:06
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Je précise que mon ordi n'est pas à l'heure (il ne retrouve ni la date ni l'heure au démarrage depuis déjà un certain temps...)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
Modifié par juju666 le 15/11/2012 à 19:19
Modifié par juju666 le 15/11/2012 à 19:19
▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
SRPeek::
atapi.sys
Quit::
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
.::. Contributeur Sécurité .::.
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
SRPeek::
atapi.sys
Quit::
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
.::. Contributeur Sécurité .::.
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
15 nov. 2012 à 20:10
15 nov. 2012 à 20:10
Bon, je suis vraiment un boulet...
J'ai fait la manip (javais bien désactivé avira et le Firewall) mais j'avais oublié de fermer le bloc-notes... J'espère que ce n'est pas trop grave. Il faut que je refasse la manip ?
Sur la fin, je crois que l'ordi s'est relancé (je n'étais pas devant donc je suppose) et avira et le firewall se sont réactivés en automatique avant la rédaction du rapport...
Voici toujours le rapport :
ComboFix 12-11-15.01 - Administrateur 15/11/2012 19:44:07.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.959.539 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\Sandrine.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *Disabled* {F61A549E-9C8A-4859-8BFE-2A4A018BBA4A}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrateur\Application Data\PriceGong
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\1.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\a.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\b.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\c.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\d.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\e.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\f.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\g.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\h.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\i.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\J.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\k.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\l.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\m.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\mru.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\n.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\o.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\p.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\q.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\r.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\s.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\t.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\u.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\v.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\w.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\x.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\y.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\z.xml
c:\documents and settings\Administrateur\WINDOWS
c:\documents and settings\All Users\Application Data\TEMP
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-15 au 2012-11-15 ))))))))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-29 07:16 . 2011-10-25 17:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys
[-] 2004-10-31 12:00 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-10-31 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
.
[-] 2008-04-14 . 710BC85A8C22626EE094439E3EA0D38C . 297984 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\termsrv.dll
[-] 2004-10-31 . A77219A971029DC2FB683E8513713803 . 215552 . . [5.1.2600.2055] . . c:\windows\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
2011-05-09 09:49 176936 ----a-w- c:\program files\PHPNukeFR\prxtbPHP0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Device Detector"="c:\program files\Fichiers communs\ACD Systems\EN\DevDetect.exe" [2003-09-17 212992]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-15 32768]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 57344]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-09-09 439808]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-07-24 77824]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-8 113664]
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-5 323646]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [08/06/2007 17:32 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [08/06/2007 17:32 5248]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [26/08/2008 13:03 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 03:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02/12/2009 19:12 108289]
R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [30/07/2008 09:36 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [30/07/2008 09:36 1361192]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [26/08/2008 13:03 65576]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2007-09-24 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2100 series5E771253C1676EBED677BF361FDFC537825E15B8181496444.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2010-08-01 c:\windows\Tasks\WebReg 20100801041253.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-05 23:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5aloo555.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=HP_ss&mntrId=e02a59350000000000000019db84e4a7
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=KW_ss&mntrId=e02a59350000000000000019db84e4a7&q=
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://www.google.com/search?babsrc=TB_ggl&q=
FF - user.js: extensions.BabylonToolbar.id - e02a59350000000000000019db84e4a7
FF - user.js: extensions.BabylonToolbar.instlDay - 11688
FF - user.js: extensions.BabylonToolbar.vrsn - 1.5.29.1
FF - user.js: extensions.BabylonToolbar.vrsni - 1.5.29.1
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.29.12:30
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - base
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=112543&tt=190712_n_mont_3012_7
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-CloneCD - c:\program files\SlySoft\CloneCD\ccd-uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-15 19:58
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
c:\program files\Fichiers communs\Java\Java Update\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2012-11-15 20:06:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-11-15 19:06
ComboFix2.txt 2011-04-02 21:59
ComboFix3.txt 2011-04-01 22:22
.
Avant-CF: 53 182 550 016 octets libres
Après-CF: 53 427 240 960 octets libres
.
- - End Of File - - ABF2C897C33405493E635464098BCC2F
J'ai fait la manip (javais bien désactivé avira et le Firewall) mais j'avais oublié de fermer le bloc-notes... J'espère que ce n'est pas trop grave. Il faut que je refasse la manip ?
Sur la fin, je crois que l'ordi s'est relancé (je n'étais pas devant donc je suppose) et avira et le firewall se sont réactivés en automatique avant la rédaction du rapport...
Voici toujours le rapport :
ComboFix 12-11-15.01 - Administrateur 15/11/2012 19:44:07.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.959.539 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\Sandrine.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *Disabled* {F61A549E-9C8A-4859-8BFE-2A4A018BBA4A}
* Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrateur\Application Data\PriceGong
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\1.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\a.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\b.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\c.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\d.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\e.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\f.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\g.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\h.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\i.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\J.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\k.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\l.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\m.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\mru.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\n.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\o.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\p.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\q.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\r.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\s.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\t.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\u.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\v.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\w.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\x.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\y.xml
c:\documents and settings\Administrateur\Application Data\PriceGong\Data\z.xml
c:\documents and settings\Administrateur\WINDOWS
c:\documents and settings\All Users\Application Data\TEMP
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-15 au 2012-11-15 ))))))))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-29 07:16 . 2011-10-25 17:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys
[-] 2004-10-31 12:00 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-10-31 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
.
[-] 2008-04-14 . 710BC85A8C22626EE094439E3EA0D38C . 297984 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\termsrv.dll
[-] 2004-10-31 . A77219A971029DC2FB683E8513713803 . 215552 . . [5.1.2600.2055] . . c:\windows\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
2011-05-09 09:49 176936 ----a-w- c:\program files\PHPNukeFR\prxtbPHP0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Device Detector"="c:\program files\Fichiers communs\ACD Systems\EN\DevDetect.exe" [2003-09-17 212992]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-15 32768]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 57344]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-09-09 439808]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-07-24 77824]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-8 113664]
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-5 323646]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [08/06/2007 17:32 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [08/06/2007 17:32 5248]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [26/08/2008 13:03 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 03:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02/12/2009 19:12 108289]
R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [30/07/2008 09:36 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [30/07/2008 09:36 1361192]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [26/08/2008 13:03 65576]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2007-09-24 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2100 series5E771253C1676EBED677BF361FDFC537825E15B8181496444.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2010-08-01 c:\windows\Tasks\WebReg 20100801041253.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-05 23:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5aloo555.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=HP_ss&mntrId=e02a59350000000000000019db84e4a7
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=KW_ss&mntrId=e02a59350000000000000019db84e4a7&q=
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://www.google.com/search?babsrc=TB_ggl&q=
FF - user.js: extensions.BabylonToolbar.id - e02a59350000000000000019db84e4a7
FF - user.js: extensions.BabylonToolbar.instlDay - 11688
FF - user.js: extensions.BabylonToolbar.vrsn - 1.5.29.1
FF - user.js: extensions.BabylonToolbar.vrsni - 1.5.29.1
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.29.12:30
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - base
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=112543&tt=190712_n_mont_3012_7
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-CloneCD - c:\program files\SlySoft\CloneCD\ccd-uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-15 19:58
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
c:\program files\Fichiers communs\Java\Java Update\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2012-11-15 20:06:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-11-15 19:06
ComboFix2.txt 2011-04-02 21:59
ComboFix3.txt 2011-04-01 22:22
.
Avant-CF: 53 182 550 016 octets libres
Après-CF: 53 427 240 960 octets libres
.
- - End Of File - - ABF2C897C33405493E635464098BCC2F
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
15 nov. 2012 à 20:18
15 nov. 2012 à 20:18
Refais moi un cfscript avec ça dedans :
KillAll::
FCopy::
c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys
Quit::
KillAll::
FCopy::
c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys
Quit::
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
15 nov. 2012 à 20:47
15 nov. 2012 à 20:47
C'est fait, voilà le rapport :
ComboFix 12-11-15.01 - Administrateur 15/11/2012 20:27:10.4.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.959.561 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\Sandrine.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *Disabled* {F61A549E-9C8A-4859-8BFE-2A4A018BBA4A}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Internet Explorer\minftnet.exe
c:\program files\Internet Explorer\minftnet.ini
.
.
--------------- FCopy ---------------
.
c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-15 au 2012-11-15 ))))))))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-29 07:16 . 2011-10-25 17:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys
[-] 2004-10-31 12:00 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-10-31 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
.
[-] 2008-04-14 . 710BC85A8C22626EE094439E3EA0D38C . 297984 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\termsrv.dll
[-] 2004-10-31 . A77219A971029DC2FB683E8513713803 . 215552 . . [5.1.2600.2055] . . c:\windows\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
2011-05-09 09:49 176936 ----a-w- c:\program files\PHPNukeFR\prxtbPHP0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Device Detector"="c:\program files\Fichiers communs\ACD Systems\EN\DevDetect.exe" [2003-09-17 212992]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-15 32768]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 57344]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-09-09 439808]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-07-24 77824]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-8 113664]
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-5 323646]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [08/06/2007 17:32 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [08/06/2007 17:32 5248]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [26/08/2008 13:03 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 03:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02/12/2009 19:12 108289]
R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [30/07/2008 09:36 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [30/07/2008 09:36 1361192]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [26/08/2008 13:03 65576]
.
Contenu du dossier 'Tâches planifiées'
.
2007-09-24 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2100 series5E771253C1676EBED677BF361FDFC537825E15B8181496444.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2010-08-01 c:\windows\Tasks\WebReg 20100801041253.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-05 23:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5aloo555.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=HP_ss&mntrId=e02a59350000000000000019db84e4a7
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=KW_ss&mntrId=e02a59350000000000000019db84e4a7&q=
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://www.google.com/search?babsrc=TB_ggl&q=
FF - user.js: extensions.BabylonToolbar.id - e02a59350000000000000019db84e4a7
FF - user.js: extensions.BabylonToolbar.instlDay - 11688
FF - user.js: extensions.BabylonToolbar.vrsn - 1.5.29.1
FF - user.js: extensions.BabylonToolbar.vrsni - 1.5.29.1
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.29.12:30
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - base
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=112543&tt=190712_n_mont_3012_7
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-15 20:40
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
.
**************************************************************************
.
Heure de fin: 2012-11-15 20:46:39 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-11-15 19:46
ComboFix2.txt 2012-11-15 19:06
ComboFix3.txt 2011-04-02 21:59
ComboFix4.txt 2011-04-01 22:22
.
Avant-CF: 53 420 290 048 octets libres
Après-CF: 53 426 905 088 octets libres
.
- - End Of File - - DB0183EF8A86F88BFD6D037699D8D03A
ComboFix 12-11-15.01 - Administrateur 15/11/2012 20:27:10.4.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.959.561 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\Sandrine.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *Disabled* {F61A549E-9C8A-4859-8BFE-2A4A018BBA4A}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Internet Explorer\minftnet.exe
c:\program files\Internet Explorer\minftnet.ini
.
.
--------------- FCopy ---------------
.
c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-15 au 2012-11-15 ))))))))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-29 07:16 . 2011-10-25 17:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys
[-] 2004-10-31 12:00 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-10-31 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
.
[-] 2008-04-14 . 710BC85A8C22626EE094439E3EA0D38C . 297984 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\termsrv.dll
[-] 2004-10-31 . A77219A971029DC2FB683E8513713803 . 215552 . . [5.1.2600.2055] . . c:\windows\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
2011-05-09 09:49 176936 ----a-w- c:\program files\PHPNukeFR\prxtbPHP0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Device Detector"="c:\program files\Fichiers communs\ACD Systems\EN\DevDetect.exe" [2003-09-17 212992]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-15 32768]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 57344]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-09-09 439808]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-07-24 77824]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-8 113664]
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-5 323646]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [08/06/2007 17:32 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [08/06/2007 17:32 5248]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [26/08/2008 13:03 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 03:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02/12/2009 19:12 108289]
R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [30/07/2008 09:36 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [30/07/2008 09:36 1361192]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [26/08/2008 13:03 65576]
.
Contenu du dossier 'Tâches planifiées'
.
2007-09-24 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2100 series5E771253C1676EBED677BF361FDFC537825E15B8181496444.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2010-08-01 c:\windows\Tasks\WebReg 20100801041253.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-05 23:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5aloo555.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=HP_ss&mntrId=e02a59350000000000000019db84e4a7
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=KW_ss&mntrId=e02a59350000000000000019db84e4a7&q=
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://www.google.com/search?babsrc=TB_ggl&q=
FF - user.js: extensions.BabylonToolbar.id - e02a59350000000000000019db84e4a7
FF - user.js: extensions.BabylonToolbar.instlDay - 11688
FF - user.js: extensions.BabylonToolbar.vrsn - 1.5.29.1
FF - user.js: extensions.BabylonToolbar.vrsni - 1.5.29.1
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.29.12:30
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - base
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=112543&tt=190712_n_mont_3012_7
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-15 20:40
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
.
**************************************************************************
.
Heure de fin: 2012-11-15 20:46:39 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-11-15 19:46
ComboFix2.txt 2012-11-15 19:06
ComboFix3.txt 2011-04-02 21:59
ComboFix4.txt 2011-04-01 22:22
.
Avant-CF: 53 420 290 048 octets libres
Après-CF: 53 426 905 088 octets libres
.
- - End Of File - - DB0183EF8A86F88BFD6D037699D8D03A
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
16 nov. 2012 à 00:11
16 nov. 2012 à 00:11
Redémarre
Relance un combofix pour voir :)
Relance un combofix pour voir :)
saro69
Messages postés
88
Date d'inscription
lundi 25 août 2008
Statut
Membre
Dernière intervention
26 février 2013
16 nov. 2012 à 07:00
16 nov. 2012 à 07:00
Bonjour
J'ai fait la manip.
Je signale que j'ai toujours le souci de date et heure (et qu'au démarage je suis systématiquement obligée de faire F2 puis Echap pour aller au bout du démarage, ça fait quelques semaiens que ça dure, j'aais oublié d'en parler).
Sur le bureau j'ai toujours le raccourci "Progressive..."
Après avoir lancé Combofix, j'ai eu du mal à relancer internet (Woobrowser.exe à 4 reprises) mais cela n'a peut être rien à voir avec la choucroute.
Voici le rapport :
ComboFix 12-11-15.01 - Administrateur 16/11/2012 6:37.5.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.959.484 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\Sandrine.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *Disabled* {F61A549E-9C8A-4859-8BFE-2A4A018BBA4A}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-16 au 2012-11-16 ))))))))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-29 07:16 . 2011-10-25 17:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys
[-] 2004-10-31 12:00 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-10-31 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
.
[-] 2008-04-14 . 710BC85A8C22626EE094439E3EA0D38C . 297984 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\termsrv.dll
[-] 2004-10-31 . A77219A971029DC2FB683E8513713803 . 215552 . . [5.1.2600.2055] . . c:\windows\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
2011-05-09 09:49 176936 ----a-w- c:\program files\PHPNukeFR\prxtbPHP0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Device Detector"="c:\program files\Fichiers communs\ACD Systems\EN\DevDetect.exe" [2003-09-17 212992]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-15 32768]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 57344]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-09-09 439808]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-07-24 77824]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-8 113664]
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-5 323646]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [08/06/2007 17:32 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [08/06/2007 17:32 5248]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [26/08/2008 13:03 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 03:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02/12/2009 19:12 108289]
R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [30/07/2008 09:36 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [30/07/2008 09:36 1361192]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [26/08/2008 13:03 65576]
.
Contenu du dossier 'Tâches planifiées'
.
2007-09-24 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2100 series5E771253C1676EBED677BF361FDFC537825E15B8181496444.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2010-08-01 c:\windows\Tasks\WebReg 20100801041253.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-05 23:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5aloo555.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=HP_ss&mntrId=e02a59350000000000000019db84e4a7
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=KW_ss&mntrId=e02a59350000000000000019db84e4a7&q=
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://www.google.com/search?babsrc=TB_ggl&q=
FF - user.js: extensions.BabylonToolbar.id - e02a59350000000000000019db84e4a7
FF - user.js: extensions.BabylonToolbar.instlDay - 11688
FF - user.js: extensions.BabylonToolbar.vrsn - 1.5.29.1
FF - user.js: extensions.BabylonToolbar.vrsni - 1.5.29.1
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.29.12:30
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - base
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=112543&tt=190712_n_mont_3012_7
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
.
.
------- Associations de fichier -------
.
txtfile=Notepad.exe "%1"
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-16 06:50
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2012-11-16 06:51:42
ComboFix-quarantined-files.txt 2012-11-16 05:51
ComboFix2.txt 2012-11-15 19:46
ComboFix3.txt 2012-11-15 19:06
ComboFix4.txt 2011-04-02 21:59
ComboFix5.txt 2012-11-16 05:36
.
Avant-CF: 53 313 867 776 octets libres
Après-CF: 53 323 649 024 octets libres
.
- - End Of File - - 1266A936D71DCA090C40AE518CFD4755
Merci pour la patience et d'être toujours là
J'ai fait la manip.
Je signale que j'ai toujours le souci de date et heure (et qu'au démarage je suis systématiquement obligée de faire F2 puis Echap pour aller au bout du démarage, ça fait quelques semaiens que ça dure, j'aais oublié d'en parler).
Sur le bureau j'ai toujours le raccourci "Progressive..."
Après avoir lancé Combofix, j'ai eu du mal à relancer internet (Woobrowser.exe à 4 reprises) mais cela n'a peut être rien à voir avec la choucroute.
Voici le rapport :
ComboFix 12-11-15.01 - Administrateur 16/11/2012 6:37.5.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.959.484 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\Sandrine.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sunbelt Personal Firewall *Disabled* {F61A549E-9C8A-4859-8BFE-2A4A018BBA4A}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-10-16 au 2012-11-16 ))))))))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-09-29 07:16 . 2011-10-25 17:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys
[-] 2004-10-31 12:00 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-10-31 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
.
[-] 2008-04-14 . 710BC85A8C22626EE094439E3EA0D38C . 297984 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\termsrv.dll
[-] 2004-10-31 . A77219A971029DC2FB683E8513713803 . 215552 . . [5.1.2600.2055] . . c:\windows\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
2011-05-09 09:49 176936 ----a-w- c:\program files\PHPNukeFR\prxtbPHP0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\prxtbPHP0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-06 16262656]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"Device Detector"="c:\program files\Fichiers communs\ACD Systems\EN\DevDetect.exe" [2003-09-17 212992]
"RemoteControl"="c:\windows\system32\rmctrl.exe" [2000-10-15 32768]
"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2004-09-02 57344]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-09-09 439808]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-07-24 77824]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-8 113664]
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-5 323646]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll schannel.dll digest.dll msnsspc.dll
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [08/06/2007 17:32 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [08/06/2007 17:32 5248]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [26/08/2008 13:03 269736]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 03:54 66600]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [02/12/2009 19:12 108289]
R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [30/07/2008 09:36 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [30/07/2008 09:36 1361192]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [26/08/2008 13:03 65576]
.
Contenu du dossier 'Tâches planifiées'
.
2007-09-24 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2100 series5E771253C1676EBED677BF361FDFC537825E15B8181496444.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 22:52]
.
2010-08-01 c:\windows\Tasks\WebReg 20100801041253.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-05 23:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\5aloo555.default\
FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=HP_ss&mntrId=e02a59350000000000000019db84e4a7
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?affID=112543&tt=190712_n_mont_3012_7&babsrc=KW_ss&mntrId=e02a59350000000000000019db84e4a7&q=
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://www.google.com/search?babsrc=TB_ggl&q=
FF - user.js: extensions.BabylonToolbar.id - e02a59350000000000000019db84e4a7
FF - user.js: extensions.BabylonToolbar.instlDay - 11688
FF - user.js: extensions.BabylonToolbar.vrsn - 1.5.29.1
FF - user.js: extensions.BabylonToolbar.vrsni - 1.5.29.1
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.29.12:30
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - base
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=112543&tt=190712_n_mont_3012_7
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
.
.
------- Associations de fichier -------
.
txtfile=Notepad.exe "%1"
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-16 06:50
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2012-11-16 06:51:42
ComboFix-quarantined-files.txt 2012-11-16 05:51
ComboFix2.txt 2012-11-15 19:46
ComboFix3.txt 2012-11-15 19:06
ComboFix4.txt 2011-04-02 21:59
ComboFix5.txt 2012-11-16 05:36
.
Avant-CF: 53 313 867 776 octets libres
Après-CF: 53 323 649 024 octets libres
.
- - End Of File - - 1266A936D71DCA090C40AE518CFD4755
Merci pour la patience et d'être toujours là
14 nov. 2012 à 22:19
14 nov. 2012 à 22:20
14 nov. 2012 à 22:22
14 nov. 2012 à 22:23