Ma machine est infectée
Résolu
colorsound
Messages postés
86
Statut
Membre
-
Darkkiller Messages postés 2336 Statut Contributeur -
Darkkiller Messages postés 2336 Statut Contributeur -
Bonjour
J'ai installé ma machine il y a une semaine
J'ai eu un compte a rebours et reboot du systeme
Spybot me dit qu'aucun mouchard n'a été trouvé
Avast ne trouve pas de virus
Trojan remover m'indique :
C:\WINDOWS\system32\xpdx.sys
HKLM\SYSTEM\currentcontrolset services\xpxd
appears to contain : TROJAN.CLICKER.COSTRAT
que faire ?
J'ai installé ma machine il y a une semaine
J'ai eu un compte a rebours et reboot du systeme
Spybot me dit qu'aucun mouchard n'a été trouvé
Avast ne trouve pas de virus
Trojan remover m'indique :
C:\WINDOWS\system32\xpdx.sys
HKLM\SYSTEM\currentcontrolset services\xpxd
appears to contain : TROJAN.CLICKER.COSTRAT
que faire ?
A voir également:
- Ma machine est infectée
- Machine virtuelle windows - Guide
- Time machine - Guide
- Comment savoir si une clé usb est infectée - Guide
- Machine virtuelle gratuite - Télécharger - Émulation & Virtualisation
- Hkey local machine - Forum Windows
102 réponses
j'ai pu defragmenter
en fait il y avait plein de dossiers dans documents settings que j'ai transféré sur mon HDD amovible
prochaine etape ?
en fait il y avait plein de dossiers dans documents settings que j'ai transféré sur mon HDD amovible
prochaine etape ?
Re,
Prochaine étape, tu m'héberge ton screenshot sur le site Imageshack. et tu me donne le line pour que je puisse le voir :)
Prochaine étape, tu m'héberge ton screenshot sur le site Imageshack. et tu me donne le line pour que je puisse le voir :)
comme j'ai pu defrag je pense que ce n'est plus necessaire
c'etait des fichiers que j'avais oublies de transferer su mon amovible : photos de vacances etc...
c'etait des fichiers que j'avais oublies de transferer su mon amovible : photos de vacances etc...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
merci j'en conclus donc que mes bestioles sont mortes
mais j'ai toujours cet ecran bleu driver power state failure
mais j'ai toujours cet ecran bleu driver power state failure
Re,
Laisse tomber :)
* Télécharge DiagHelp.zip
http://www.malekal.com/download/DiagHelp.zip
sur ton bureau
Ne double-clic pas dessus !!
* Fais un clic droit sur le fichier et extraire tout
* Un nouveau dossier chercher va être créé DiagHelp
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
Ce dernier se trouve sur C:\resultat.txt
* Copie/colle le contenu du bloc-note qui s'ouvre et poste le rapport ici ensuite
Laisse tomber :)
* Télécharge DiagHelp.zip
http://www.malekal.com/download/DiagHelp.zip
sur ton bureau
Ne double-clic pas dessus !!
* Fais un clic droit sur le fichier et extraire tout
* Un nouveau dossier chercher va être créé DiagHelp
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
Ce dernier se trouve sur C:\resultat.txt
* Copie/colle le contenu du bloc-note qui s'ouvre et poste le rapport ici ensuite
voici resultat.txt
DiagHelp version v1.1.2 - http://www.malekal.com
excute le 07/08/2007 à 22:38:10,23
Liste des derniers fichies modifies/crees dans windir\system32
C:\WINDOWS\System32/drivers\fwdrv.err -->07/08/2007 22:13:27
C:\WINDOWS\System32/drivers\aswmon.sys -->28/07/2007 00:02:49
C:\WINDOWS\System32/drivers\aswmon2.sys -->28/07/2007 00:02:34
C:\WINDOWS\System32/drivers\aswRdr.sys -->28/07/2007 00:00:39
C:\WINDOWS\System32/drivers\aswTdi.sys -->27/07/2007 23:59:57
C:\WINDOWS\System32/drivers\aavmker4.sys -->27/07/2007 23:58:36
C:\WINDOWS\System32/drivers\rspsc32.sys -->07/07/2007 00:39:26
C:\WINDOWS\System32\eInstall.dat -->03/08/2007 22:41:44
C:\WINDOWS\System32\FNTCACHE.DAT -->30/07/2007 17:24:42
C:\WINDOWS\System32\BASSMOD.dll -->30/07/2007 12:52:26
C:\WINDOWS\System32\wpa.dbl -->30/07/2007 12:22:03
C:\WINDOWS\System32\h323log.txt -->29/07/2007 00:56:36
C:\WINDOWS\System32\PerfStringBackup.INI -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfh00C.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfh009.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfc00C.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfc009.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\TZLog.log -->28/07/2007 19:22:51
C:\WINDOWS\System32\CONFIG.NT -->28/07/2007 18:54:28
C:\WINDOWS\System32\LoopyMusic.wav -->28/07/2007 18:29:44
C:\WINDOWS\System32\BuzzingBee.wav -->28/07/2007 18:29:44
C:\WINDOWS\System32\$winnt$.inf -->28/07/2007 17:04:09
C:\WINDOWS\System32\nscompat.tlb -->28/07/2007 17:01:50
C:\WINDOWS\System32\amcompat.tlb -->28/07/2007 17:01:50
C:\WINDOWS\System32\WindowsLogon.manifest -->28/07/2007 17:00:55
C:\WINDOWS\System32\logonui.exe.manifest -->28/07/2007 17:00:55
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\sapi.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\nwc.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\ncpa.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\cdplayer.exe.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\emptyregdb.dat -->28/07/2007 16:59:11
C:\WINDOWS\WindowsUpdate.log -->07/08/2007 22:26:29
C:\WINDOWS\win.ini -->07/08/2007 22:08:32
C:\WINDOWS\ESCAN.LOG -->07/08/2007 22:08:11
C:\WINDOWS\0.log -->07/08/2007 22:07:53
C:\WINDOWS\frights.log -->07/08/2007 22:07:50
C:\WINDOWS\bootstat.dat -->07/08/2007 22:07:46
C:\WINDOWS\SchedLgU.Txt -->07/08/2007 11:27:09
C:\WINDOWS\wiadebug.log -->07/08/2007 00:46:41
C:\WINDOWS\setupapi.log -->06/08/2007 12:54:45
C:\WINDOWS\wiaservc.log -->06/08/2007 11:50:04
C:\WINDOWS\Sti_Trace.log -->06/08/2007 11:50:03
C:\WINDOWS\REGBK00.ZIP -->06/08/2007 02:13:05
C:\WINDOWS\system.ini -->05/08/2007 23:03:30
C:\WINDOWS\DEFESMS.VX -->04/08/2007 22:55:04
C:\WINDOWS\DEFESMS.HTML -->04/08/2007 22:55:04
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 9C7C-8007
Répertoire de C:\WINDOWS\system32
05/08/2004 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 25 912 963 072 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 9C7C-8007
Répertoire de C:\WINDOWS\Downloaded Program Files
06/08/2007 01:54 <REP> .
06/08/2007 01:54 <REP> ..
28/07/2007 17:00 65 desktop.ini
1 fichier(s) 65 octets
Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 25 912 963 072 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"="C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE:*:Enabled:eScan Update Downloader"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"
"C:\\PROGRA~1\\eScan\\TRAYICOS.EXE"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE:*:Enabled:eScan Server Updater"
"C:\\PROGRA~1\\eScan\\ESERV.EXE"="C:\\PROGRA~1\\eScan\\ESERV.EXE:*:Enabled:eScan Management Console"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"="C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE:*:Enabled:eScan Update Downloader"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"
"C:\\PROGRA~1\\eScan\\TRAYICOS.EXE"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE:*:Enabled:eScan Server Updater"
"C:\\PROGRA~1\\eScan\\ESERV.EXE"="C:\\PROGRA~1\\eScan\\ESERV.EXE:*:Enabled:eScan Management Console"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
Rechercher adresses sensibles dans le fichier HOSTS...
DiagHelp version v1.1.2 - http://www.malekal.com
excute le 07/08/2007 à 22:38:10,23
Liste des derniers fichies modifies/crees dans windir\system32
C:\WINDOWS\System32/drivers\fwdrv.err -->07/08/2007 22:13:27
C:\WINDOWS\System32/drivers\aswmon.sys -->28/07/2007 00:02:49
C:\WINDOWS\System32/drivers\aswmon2.sys -->28/07/2007 00:02:34
C:\WINDOWS\System32/drivers\aswRdr.sys -->28/07/2007 00:00:39
C:\WINDOWS\System32/drivers\aswTdi.sys -->27/07/2007 23:59:57
C:\WINDOWS\System32/drivers\aavmker4.sys -->27/07/2007 23:58:36
C:\WINDOWS\System32/drivers\rspsc32.sys -->07/07/2007 00:39:26
C:\WINDOWS\System32\eInstall.dat -->03/08/2007 22:41:44
C:\WINDOWS\System32\FNTCACHE.DAT -->30/07/2007 17:24:42
C:\WINDOWS\System32\BASSMOD.dll -->30/07/2007 12:52:26
C:\WINDOWS\System32\wpa.dbl -->30/07/2007 12:22:03
C:\WINDOWS\System32\h323log.txt -->29/07/2007 00:56:36
C:\WINDOWS\System32\PerfStringBackup.INI -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfh00C.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfh009.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfc00C.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\perfc009.dat -->28/07/2007 19:27:37
C:\WINDOWS\System32\TZLog.log -->28/07/2007 19:22:51
C:\WINDOWS\System32\CONFIG.NT -->28/07/2007 18:54:28
C:\WINDOWS\System32\LoopyMusic.wav -->28/07/2007 18:29:44
C:\WINDOWS\System32\BuzzingBee.wav -->28/07/2007 18:29:44
C:\WINDOWS\System32\$winnt$.inf -->28/07/2007 17:04:09
C:\WINDOWS\System32\nscompat.tlb -->28/07/2007 17:01:50
C:\WINDOWS\System32\amcompat.tlb -->28/07/2007 17:01:50
C:\WINDOWS\System32\WindowsLogon.manifest -->28/07/2007 17:00:55
C:\WINDOWS\System32\logonui.exe.manifest -->28/07/2007 17:00:55
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\sapi.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\nwc.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\ncpa.cpl.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\cdplayer.exe.manifest -->28/07/2007 17:00:49
C:\WINDOWS\System32\emptyregdb.dat -->28/07/2007 16:59:11
C:\WINDOWS\WindowsUpdate.log -->07/08/2007 22:26:29
C:\WINDOWS\win.ini -->07/08/2007 22:08:32
C:\WINDOWS\ESCAN.LOG -->07/08/2007 22:08:11
C:\WINDOWS\0.log -->07/08/2007 22:07:53
C:\WINDOWS\frights.log -->07/08/2007 22:07:50
C:\WINDOWS\bootstat.dat -->07/08/2007 22:07:46
C:\WINDOWS\SchedLgU.Txt -->07/08/2007 11:27:09
C:\WINDOWS\wiadebug.log -->07/08/2007 00:46:41
C:\WINDOWS\setupapi.log -->06/08/2007 12:54:45
C:\WINDOWS\wiaservc.log -->06/08/2007 11:50:04
C:\WINDOWS\Sti_Trace.log -->06/08/2007 11:50:03
C:\WINDOWS\REGBK00.ZIP -->06/08/2007 02:13:05
C:\WINDOWS\system.ini -->05/08/2007 23:03:30
C:\WINDOWS\DEFESMS.VX -->04/08/2007 22:55:04
C:\WINDOWS\DEFESMS.HTML -->04/08/2007 22:55:04
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 9C7C-8007
Répertoire de C:\WINDOWS\system32
05/08/2004 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 25 912 963 072 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 9C7C-8007
Répertoire de C:\WINDOWS\Downloaded Program Files
06/08/2007 01:54 <REP> .
06/08/2007 01:54 <REP> ..
28/07/2007 17:00 65 desktop.ini
1 fichier(s) 65 octets
Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 25 912 963 072 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"="C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE:*:Enabled:eScan Update Downloader"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"
"C:\\PROGRA~1\\eScan\\TRAYICOS.EXE"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE:*:Enabled:eScan Server Updater"
"C:\\PROGRA~1\\eScan\\ESERV.EXE"="C:\\PROGRA~1\\eScan\\ESERV.EXE:*:Enabled:eScan Management Console"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"="C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE:*:Enabled:eScan Update Downloader"
"C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\FICHIE~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"
"C:\\PROGRA~1\\eScan\\TRAYICOS.EXE"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE:*:Enabled:eScan Server Updater"
"C:\\PROGRA~1\\eScan\\ESERV.EXE"="C:\\PROGRA~1\\eScan\\ESERV.EXE:*:Enabled:eScan Management Console"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
Rechercher adresses sensibles dans le fichier HOSTS...
RE,
Télécharge Combofix sUBs : [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]combofix.exe[/url]
et sauvegarde le sur ton bureau et pas ailleurs!
Clic sur le menu Démarrer puis executer et copie/colle ceci :
"%userprofile%\Bureau\combofix.exe" /v fccyy
puis clic sur OK.
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec.
Télécharge Combofix sUBs : [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]combofix.exe[/url]
et sauvegarde le sur ton bureau et pas ailleurs!
Clic sur le menu Démarrer puis executer et copie/colle ceci :
"%userprofile%\Bureau\combofix.exe" /v fccyy
puis clic sur OK.
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Copie/colle un nouveau rapport HiJackThis avec.
rapport combofix.txt
ComboFix 07-08-07.6 - "Christian Piat" 2007-08-07 23:27:36.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.508 [GMT 2:00]
Command switches used :: /v fccyy
* Created a new restore point
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\poof
((((((((((((((((((((((((( Files Created from 2007-07-07 to 2007-08-07 )))))))))))))))))))))))))))))))
2007-08-07 23:23 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-06 12:07 <REP> d-------- C:\WINDOWS\pss
2007-08-06 02:16 <REP> d-------- C:\WINDOWS\system32\NtmsData
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\zts2.exe
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\rundll16.exe
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\rundl132.dll
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\logo1_.exe
2007-08-05 23:50 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-05 23:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
2007-08-05 23:06 <REP> d-------- C:\Program Files\Sunbelt Software
2007-08-05 23:02 <REP> d-------- C:\Program Files\Kerio
2007-08-03 22:46 <REP> d-------- C:\WINDOWS\Prefetch
2007-08-03 22:44 10,048 --a------ C:\WINDOWS\WSSPORD.DAT
2007-08-03 22:41 8,660 --a------ C:\WINDOWS\system32\eInstall.dat
2007-08-03 22:39 82,044 --a------ C:\WINDOWS\winsbak2.reg
2007-08-03 22:39 43,520 --a------ C:\WINDOWS\killproc.exe
2007-08-03 22:39 153,088 --a------ C:\WINDOWS\R.COM
2007-08-03 22:39 143,360 --a------ C:\WINDOWS\system32\T.COM
2007-08-03 22:39 11,026 --a------ C:\WINDOWS\winsbak.reg
2007-08-03 22:39 <REP> d-------- C:\PUB
2007-08-03 22:39 <REP> d-------- C:\Program Files\Fichiers communs\MicroWorld
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\ModŠles
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Menu D‚marrer
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Favoris
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Documents
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Bureau
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\ModŠles
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Favoris
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Documents
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Bureau
2007-08-03 22:38 9,488 --a------ C:\WINDOWS\sporder.dll
2007-08-03 22:38 7,680 --a------ C:\WINDOWS\sporder.exe
2007-08-03 22:38 508,928 --a------ C:\WINDOWS\system32\eInstall.exe
2007-08-03 22:38 44,032 --a------ C:\WINDOWS\inst_tsp.exe
2007-08-03 22:38 356,352 --a------ C:\WINDOWS\system32\mwtsp.dll
2007-08-03 22:38 32,768 --a------ C:\WINDOWS\system32\esmxlog.dll
2007-08-03 22:38 138,000 --a------ C:\WINDOWS\system32\drivers\klif108.sys
2007-08-03 22:38 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2007-08-03 22:38 126,976 --a------ C:\WINDOWS\system32\mwnsp.dll
2007-08-03 22:38 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2007-08-03 22:38 117,008 --a------ C:\WINDOWS\system32\drivers\klif50.sys
2007-08-03 22:38 1,044,480 --a------ C:\WINDOWS\system32\contfilt.dll
2007-08-03 22:38 <REP> d-------- C:\WINDOWS\system32\FLCSS.EXE
2007-08-03 22:38 <REP> d-------- C:\WINDOWS\system32\ES_SETUP
2007-08-03 22:38 <REP> d-------- C:\Program Files\eScan
2007-08-03 22:38 <REP> d-------- C:\AVPDOS
2007-08-03 21:33 <REP> d-------- C:\Downloads
2007-08-03 21:33 <REP> d-------- C:\Bases
2007-08-03 21:30 <REP> d-------- C:\Kaspersky
2007-08-03 17:11 <REP> d-------- C:\WINDOWS\ERUNT
2007-08-03 16:04 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-03 15:59 <REP> d-------- C:\Rustbfix
2007-08-03 14:12 218,112 --a------ C:\HijackThis.exe
2007-08-03 12:56 <REP> d-------- C:\Program Files\RegCleaner
2007-07-31 12:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-07-31 11:22 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-31 11:21 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2007-07-31 11:21 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2007-07-31 11:21 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2007-07-31 11:21 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2007-07-31 11:21 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2007-07-31 11:21 <REP> d-------- C:\Program Files\Trojan Remover
2007-07-31 11:21 <REP> d-------- C:\DOCUME~1\CHRIST~1\APPLIC~1\Simply Super Software
2007-07-31 11:21 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Simply Super Software
2007-07-30 17:57 <REP> d-------- C:\Program Files\Yahoo!
2007-07-30 17:57 <REP> d-------- C:\Program Files\CCleaner
2007-07-30 17:22 19,248 --a------ C:\WINDOWS\system32\drivers\rspsc32.sys
2007-07-30 17:22 <REP> d-------- C:\Program Files\RootKit Hook Analyzer
2007-07-30 15:38 <REP> d-------- C:\WINDOWS\system32\appmgmt
2007-07-30 14:47 <REP> d---s---- C:\DOCUME~1\CHRIST~1\UserData
2007-07-30 14:09 43,136 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
2007-07-30 14:09 43,136 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2007-07-30 13:25 24,816 --a------ C:\WINDOWS\system32\mdimon.dll
2007-07-30 13:25 <REP> d-------- C:\Program Files\Microsoft.NET
2007-07-30 13:24 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-07-30 12:51 <REP> d-------- C:\DOCUME~1\CHRIST~1\APPLIC~1\WinRAR
2007-07-30 12:10 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip
2007-07-29 18:35 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-07-29 17:34 <REP> d--hs---- C:\RECYCLER
2007-07-29 12:47 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-29 12:47 208,248 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-29 11:28 <REP> d-------- C:\Program Files\Lavalys
2007-07-29 00:52 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-07-29 00:52 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-07-29 00:52 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-07-29 00:51 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2007-07-29 00:51 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-07-29 00:50 9,936 --a------ C:\WINDOWS\system\LZEXPAND.DLL
2007-07-29 00:50 9,104 --a------ C:\WINDOWS\system\VER.DLL
2007-07-29 00:50 86,044 --a--c--- C:\WINDOWS\system32\dllcache\dgsetup.dll
2007-07-29 00:50 86,044 --a------ C:\WINDOWS\system32\dgsetup.dll
2007-07-29 00:50 83,456 --a------ C:\WINDOWS\system\OLECLI.DLL
2007-07-29 00:50 8,704 --a--c--- C:\WINDOWS\system32\dllcache\batt.dll
2007-07-29 00:50 8,704 --a------ C:\WINDOWS\system32\batt.dll
2007-07-29 00:50 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll
2007-07-29 00:50 8,192 --a--c--- C:\WINDOWS\system32\dllcache\kbdhept.dll
2007-07-29 00:50 774,144 --a--c--- C:\WINDOWS\system32\dllcache\spttseng.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-07 23:07 20619 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-07-28 19:27 48856 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-07-28 19:27 368076 --a------ C:\WINDOWS\system32\perfh00C.dat
2006-06-23 01:48 32768 -ra------ C:\WINDOWS\inf\UpdateUSB.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-22 23:13]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-22 23:17]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 10:58 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2007-07-30 13:54]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"eScan Updater"="C:\PROGRA~1\eScan\TRAYICOS.exe" [2007-04-18 16:27]
"eScan Install-checker"="C:\WINDOWS\system32\eInstall.exe" [2005-01-24 12:50]
"eScan Server"="C:\PROGRA~1\eScan\ESERV.exe" [2007-05-31 01:42]
"eScan Monitor"="C:\PROGRA~1\eScan\AVPMWrap.EXE" [2007-04-19 15:25]
"MailScan Dispatcher"="C:\PROGRA~1\eScan\LAUNCH.EXE" [2007-04-17 16:02]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06]
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-06-06 11:10:02]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
R0 sbp2port;Pilote de bus de transport/protocole SBP-2;C:\WINDOWS\system32\DRIVERS\sbp2port.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R2 eScan-eServ;eScan Management-Console;C:\PROGRA~1\eScan\TRAYESER.EXE
R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE
R2 KAVMonitorService;eScan Monitor Service;C:\PROGRA~1\eScan\avpm.exe /service
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys
R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys
Contents of the 'Scheduled Tasks' folder
2007-08-07 20:36:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-07 23:31:30
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
C:\WINDOWS\system32\cmd.exe [3848] 0x85F458A8
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-07 23:33:22 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-07 23:33
--- E O F ---
rapport hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:37:45, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\eScan\TRAYESER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWAgent.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\ESERV.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\Rar$EX00.719\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Install-checker] C:\WINDOWS\system32\eInstall.exe
O4 - HKLM\..\Run: [eScan Server] C:\PROGRA~1\eScan\ESERV.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?8248cd16323343b594a5a9904e4a9e98
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?8248cd16323343b594a5a9904e4a9e98
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eScan Management-Console (eScan-eServ) - MWTI2 - C:\PROGRA~1\eScan\TRAYESER.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
ComboFix 07-08-07.6 - "Christian Piat" 2007-08-07 23:27:36.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.508 [GMT 2:00]
Command switches used :: /v fccyy
* Created a new restore point
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\poof
((((((((((((((((((((((((( Files Created from 2007-07-07 to 2007-08-07 )))))))))))))))))))))))))))))))
2007-08-07 23:23 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-06 12:07 <REP> d-------- C:\WINDOWS\pss
2007-08-06 02:16 <REP> d-------- C:\WINDOWS\system32\NtmsData
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\zts2.exe
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\rundll16.exe
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\rundl132.dll
2007-08-06 02:12 <REP> d-a------ C:\WINDOWS\logo1_.exe
2007-08-05 23:50 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-05 23:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
2007-08-05 23:06 <REP> d-------- C:\Program Files\Sunbelt Software
2007-08-05 23:02 <REP> d-------- C:\Program Files\Kerio
2007-08-03 22:46 <REP> d-------- C:\WINDOWS\Prefetch
2007-08-03 22:44 10,048 --a------ C:\WINDOWS\WSSPORD.DAT
2007-08-03 22:41 8,660 --a------ C:\WINDOWS\system32\eInstall.dat
2007-08-03 22:39 82,044 --a------ C:\WINDOWS\winsbak2.reg
2007-08-03 22:39 43,520 --a------ C:\WINDOWS\killproc.exe
2007-08-03 22:39 153,088 --a------ C:\WINDOWS\R.COM
2007-08-03 22:39 143,360 --a------ C:\WINDOWS\system32\T.COM
2007-08-03 22:39 11,026 --a------ C:\WINDOWS\winsbak.reg
2007-08-03 22:39 <REP> d-------- C:\PUB
2007-08-03 22:39 <REP> d-------- C:\Program Files\Fichiers communs\MicroWorld
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\ModŠles
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Menu D‚marrer
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Favoris
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Documents
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\REMOTE~1\Bureau
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\ModŠles
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Favoris
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Documents
2007-08-03 22:39 <REP> d-------- C:\DOCUME~1\LOCALS~1\Bureau
2007-08-03 22:38 9,488 --a------ C:\WINDOWS\sporder.dll
2007-08-03 22:38 7,680 --a------ C:\WINDOWS\sporder.exe
2007-08-03 22:38 508,928 --a------ C:\WINDOWS\system32\eInstall.exe
2007-08-03 22:38 44,032 --a------ C:\WINDOWS\inst_tsp.exe
2007-08-03 22:38 356,352 --a------ C:\WINDOWS\system32\mwtsp.dll
2007-08-03 22:38 32,768 --a------ C:\WINDOWS\system32\esmxlog.dll
2007-08-03 22:38 138,000 --a------ C:\WINDOWS\system32\drivers\klif108.sys
2007-08-03 22:38 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2007-08-03 22:38 126,976 --a------ C:\WINDOWS\system32\mwnsp.dll
2007-08-03 22:38 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2007-08-03 22:38 117,008 --a------ C:\WINDOWS\system32\drivers\klif50.sys
2007-08-03 22:38 1,044,480 --a------ C:\WINDOWS\system32\contfilt.dll
2007-08-03 22:38 <REP> d-------- C:\WINDOWS\system32\FLCSS.EXE
2007-08-03 22:38 <REP> d-------- C:\WINDOWS\system32\ES_SETUP
2007-08-03 22:38 <REP> d-------- C:\Program Files\eScan
2007-08-03 22:38 <REP> d-------- C:\AVPDOS
2007-08-03 21:33 <REP> d-------- C:\Downloads
2007-08-03 21:33 <REP> d-------- C:\Bases
2007-08-03 21:30 <REP> d-------- C:\Kaspersky
2007-08-03 17:11 <REP> d-------- C:\WINDOWS\ERUNT
2007-08-03 16:04 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-03 15:59 <REP> d-------- C:\Rustbfix
2007-08-03 14:12 218,112 --a------ C:\HijackThis.exe
2007-08-03 12:56 <REP> d-------- C:\Program Files\RegCleaner
2007-07-31 12:20 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-07-31 11:22 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-31 11:21 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2007-07-31 11:21 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2007-07-31 11:21 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2007-07-31 11:21 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2007-07-31 11:21 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2007-07-31 11:21 <REP> d-------- C:\Program Files\Trojan Remover
2007-07-31 11:21 <REP> d-------- C:\DOCUME~1\CHRIST~1\APPLIC~1\Simply Super Software
2007-07-31 11:21 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Simply Super Software
2007-07-30 17:57 <REP> d-------- C:\Program Files\Yahoo!
2007-07-30 17:57 <REP> d-------- C:\Program Files\CCleaner
2007-07-30 17:22 19,248 --a------ C:\WINDOWS\system32\drivers\rspsc32.sys
2007-07-30 17:22 <REP> d-------- C:\Program Files\RootKit Hook Analyzer
2007-07-30 15:38 <REP> d-------- C:\WINDOWS\system32\appmgmt
2007-07-30 14:47 <REP> d---s---- C:\DOCUME~1\CHRIST~1\UserData
2007-07-30 14:09 43,136 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
2007-07-30 14:09 43,136 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2007-07-30 13:25 24,816 --a------ C:\WINDOWS\system32\mdimon.dll
2007-07-30 13:25 <REP> d-------- C:\Program Files\Microsoft.NET
2007-07-30 13:24 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-07-30 12:51 <REP> d-------- C:\DOCUME~1\CHRIST~1\APPLIC~1\WinRAR
2007-07-30 12:10 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip
2007-07-29 18:35 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-07-29 17:34 <REP> d--hs---- C:\RECYCLER
2007-07-29 12:47 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-29 12:47 208,248 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-29 11:28 <REP> d-------- C:\Program Files\Lavalys
2007-07-29 00:52 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-07-29 00:52 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-07-29 00:52 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-07-29 00:51 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2007-07-29 00:51 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-07-29 00:50 9,936 --a------ C:\WINDOWS\system\LZEXPAND.DLL
2007-07-29 00:50 9,104 --a------ C:\WINDOWS\system\VER.DLL
2007-07-29 00:50 86,044 --a--c--- C:\WINDOWS\system32\dllcache\dgsetup.dll
2007-07-29 00:50 86,044 --a------ C:\WINDOWS\system32\dgsetup.dll
2007-07-29 00:50 83,456 --a------ C:\WINDOWS\system\OLECLI.DLL
2007-07-29 00:50 8,704 --a--c--- C:\WINDOWS\system32\dllcache\batt.dll
2007-07-29 00:50 8,704 --a------ C:\WINDOWS\system32\batt.dll
2007-07-29 00:50 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll
2007-07-29 00:50 8,192 --a--c--- C:\WINDOWS\system32\dllcache\kbdhept.dll
2007-07-29 00:50 774,144 --a--c--- C:\WINDOWS\system32\dllcache\spttseng.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-07 23:07 20619 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-07-28 19:27 48856 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-07-28 19:27 368076 --a------ C:\WINDOWS\system32\perfh00C.dat
2006-06-23 01:48 32768 -ra------ C:\WINDOWS\inf\UpdateUSB.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-22 23:13]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-22 23:17]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 10:58 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2007-07-30 13:54]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"eScan Updater"="C:\PROGRA~1\eScan\TRAYICOS.exe" [2007-04-18 16:27]
"eScan Install-checker"="C:\WINDOWS\system32\eInstall.exe" [2005-01-24 12:50]
"eScan Server"="C:\PROGRA~1\eScan\ESERV.exe" [2007-05-31 01:42]
"eScan Monitor"="C:\PROGRA~1\eScan\AVPMWrap.EXE" [2007-04-19 15:25]
"MailScan Dispatcher"="C:\PROGRA~1\eScan\LAUNCH.EXE" [2007-04-17 16:02]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06]
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-06-06 11:10:02]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
R0 sbp2port;Pilote de bus de transport/protocole SBP-2;C:\WINDOWS\system32\DRIVERS\sbp2port.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R2 eScan-eServ;eScan Management-Console;C:\PROGRA~1\eScan\TRAYESER.EXE
R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE
R2 KAVMonitorService;eScan Monitor Service;C:\PROGRA~1\eScan\avpm.exe /service
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys
R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys
Contents of the 'Scheduled Tasks' folder
2007-08-07 20:36:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-07 23:31:30
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
C:\WINDOWS\system32\cmd.exe [3848] 0x85F458A8
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-08-07 23:33:22 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-07 23:33
--- E O F ---
rapport hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:37:45, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\eScan\TRAYESER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
C:\Program Files\Fichiers communs\MicroWorld\Agent\MWAgent.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\ESERV.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\Rar$EX00.719\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Install-checker] C:\WINDOWS\system32\eInstall.exe
O4 - HKLM\..\Run: [eScan Server] C:\PROGRA~1\eScan\ESERV.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?8248cd16323343b594a5a9904e4a9e98
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?8248cd16323343b594a5a9904e4a9e98
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: eScan Management-Console (eScan-eServ) - MWTI2 - C:\PROGRA~1\eScan\TRAYESER.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Fichiers communs\MicroWorld\Agent\MWASER.EXE
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Re,
Et j'ai trouvé :) C'est en relisant bien le rapport Diag Help que j'ai trouvé ! Ton driver infecté est celui-ci :
C:\WINDOWS\system32\XPDX.SYS.ren
Donc :
Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
~Double-clique sur OTMoveIt.exe afin de le lancer.
~Sélectionne TOUS les emplacements suivants :
tu specifies le chemin exact de ton dossier dans le bloc note par exemple
---> Clique-droit puis Copier
C:\WINDOWS\system32\XPDX.SYS.ren
(FAIS UN COPIER COLLER POUR EVITER DES ERREURS FATALES !!!)
Retourne sur OTMoveIt, fais un Clique-droit sur le cadre de gauche puis choisis Coller.
~Clique maintenant surMoveIt!
!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES
Et j'ai trouvé :) C'est en relisant bien le rapport Diag Help que j'ai trouvé ! Ton driver infecté est celui-ci :
C:\WINDOWS\system32\XPDX.SYS.ren
Donc :
Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
~Double-clique sur OTMoveIt.exe afin de le lancer.
~Sélectionne TOUS les emplacements suivants :
tu specifies le chemin exact de ton dossier dans le bloc note par exemple
---> Clique-droit puis Copier
C:\WINDOWS\system32\XPDX.SYS.ren
(FAIS UN COPIER COLLER POUR EVITER DES ERREURS FATALES !!!)
Retourne sur OTMoveIt, fais un Clique-droit sur le cadre de gauche puis choisis Coller.
~Clique maintenant surMoveIt!
!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES
j'ai peur de faire une betise
tu me dis :
~Sélectionne TOUS les emplacements suivants :
tu specifies le chemin exact de ton dossier dans le bloc note par exemple
---> Clique-droit puis Copier
C:\WINDOWS\system32\XPDX.SYS.ren
(FAIS UN COPIER COLLER POUR EVITER DES ERREURS FATALES !!!)
je ne comprend pas bien la manip de plus je n'ai pas de XPDX dans system32
que doit faire exactement la bille que je suis ?
tu me dis :
~Sélectionne TOUS les emplacements suivants :
tu specifies le chemin exact de ton dossier dans le bloc note par exemple
---> Clique-droit puis Copier
C:\WINDOWS\system32\XPDX.SYS.ren
(FAIS UN COPIER COLLER POUR EVITER DES ERREURS FATALES !!!)
je ne comprend pas bien la manip de plus je n'ai pas de XPDX dans system32
que doit faire exactement la bille que je suis ?
Re,
"Le driver est caché :)"
C:\WINDOWS\system32\XPDX.SYS.ren
CLique droit puis copier, ensuite clique droit sur le cadre de gauche et clique sur Coller, ensuite tu cliques sur MoveIT
"Le driver est caché :)"
C:\WINDOWS\system32\XPDX.SYS.ren
CLique droit puis copier, ensuite clique droit sur le cadre de gauche et clique sur Coller, ensuite tu cliques sur MoveIT
j'ai copié
C:\WINDOWS\system32\XPDX.SYS.ren
pour le coller dans le cadre gauche de OTMvoveit
puis j'ai fait MoveIT comme tu m'as indiqué
il m'indique
cannot create file
C:\_OTMovit\moved files\08082007_004630.log
et dans le cadre de droite
File/Folder C:\WINDOWS\system32\XPDX.SYS.ren not found.
Created on 08/08/2007 00:46:30
C:\WINDOWS\system32\XPDX.SYS.ren
pour le coller dans le cadre gauche de OTMvoveit
puis j'ai fait MoveIT comme tu m'as indiqué
il m'indique
cannot create file
C:\_OTMovit\moved files\08082007_004630.log
et dans le cadre de droite
File/Folder C:\WINDOWS\system32\XPDX.SYS.ren not found.
Created on 08/08/2007 00:46:30
Re,
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de : C:\WINDOWS\system32\XPDX.SYS.ren ou C:\WINDOWS\system32\XPDX.SYS
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau
Double clique sur le OAD pour le lancer
- nom de fichier à rechercher tape ou fais un copier coller de : C:\WINDOWS\system32\XPDX.SYS.ren ou C:\WINDOWS\system32\XPDX.SYS
- Type de recherche : sélectionne l'option 6 puis valide [entree]
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
- Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient
resultat pour C:\WINDOWS\system32\XPDX.SYS.ren
08/08/2007 ---- 0:59:37,17
----------------------------------
§§§§§§ [C:\WINDOWS\system32\XPDX.SYS.ren] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.02
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
resultat pour C:\WINDOWS\system32\XPDX.SYS
08/08/2007 ---- 1:02:38,45
----------------------------------
§§§§§§ [C:\WINDOWS\system32\XPDX.SYS] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.02
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
08/08/2007 ---- 0:59:37,17
----------------------------------
§§§§§§ [C:\WINDOWS\system32\XPDX.SYS.ren] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.02
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
resultat pour C:\WINDOWS\system32\XPDX.SYS
08/08/2007 ---- 1:02:38,45
----------------------------------
§§§§§§ [C:\WINDOWS\system32\XPDX.SYS] §§§§§§
----------------------------------
[X] Registre
-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete
********************
[Registre]
********************
Aucune entrée détectée
*******************
[Fichier]
*******************
*********************
[Même date]
*********************
Aucun fichier créé à la même date détecté
Outil Aide Diagnostic By !aur3n7 Version 1.02
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
