Sujet Précédent Sujet Suivant

Hldrrr impossible a enlever

ooaps -  
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
cela fait quelque heure que je me galere a virer hdlrrr et wintem de mon pc mais impossible avast perdu spybot pareil la il n i a que viguard qui me l intercepte mais bosser comme ca pas possible une solution plz deja essayer avec killbox un redemarrage et rien n i fait voila le log de hijack
merci a celui qui pourra m aider a vire squatter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:14, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ViGUARD\VigSvc.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\FTRTSVC.exe
F:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\sfmgr\sfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\Program Files\ViGUARD\ViGUARD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wpabaln.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\ViGUARD\ViGUARD.EXE" /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6695649-235D-4461-82FD-02DDBA63FD3B}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - F:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\sfmgr\sfmgr.exe
O23 - Service: ViGUARD Service (VigService) - SOFTED - C:\Program Files\ViGUARD\VigSvc.EXE
A voir également:

20 réponses

Réponse 1 / 20
reyvax50 Messages postés 360 Statut Membre 23
 
Bonsoir,

Quand je galere comme dans ton cas, je passe le pc un coup sur des scan en ligne:

inoculer.com

+++
0
Réponse 2 / 20
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour ooaps

• Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp >
• Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
• Lance-le, de préférence en mode sans échec si tu en as la possibilité (si tu y a accès), en mode normal dans le cas contraire.
• Double-clique dessus pour l'ouvrir.
• Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
• Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
• Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport ELIBAGLA stp.
Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\

Al.
0
Réponse 3 / 20
ooaps
 
voila le rapport elibagla de plus il m est impossible de virer le dossier killbox crer lors de ma precedente manip
un truc de malade quoi!!!
et entre nous je n ai pas une reelle confiance sur les scan en ligne mais bon si je dois m y coller
et comment ca ce fais que avast ne me l ai pas virer quand il l a detecter de plus impossible d installer regcleaner
de fou un truc de fou!!!!!!

Sat Jan 19 01:44:19 2008
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
0
Réponse 4 / 20
reyvax50 Messages postés 360 Statut Membre 23
 
Re

Le probleme d'avast c'est qu'il laisse le "virus" s'installer et il le detecte ensuite
Jte conseilerai bien antivir sur le coup
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
ooaps
 
bon a savoir
je suis aller sur innoculer et recuperer l outil de desinfection pour bagle je vais bien voir
0
Réponse 6 / 20
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Tu ne risques rien avec les outils que je te fais utiliser.

Tu as hérité d'une des dernières saloperies difficiles à neutraliser.
Même la dernière version d'Elibagla (spécialisé pour cette infection) n'y est pas parvenue.

A) Commence par ceci:

Il faut donc faire analyser ce fichier "sfmgr.exe"chez VirusTotal comme ceci :

1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer "APPLIQUER à TOUS les Dossiers" > [OK]
Note: Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Vas là </souligne>:< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier sfmgr.exe
c'est-à-dire via "Poste de travail" C:\sfmgr\ ==> en passant, dis-moi ce que contient le dossier sfmgr
•- quand tu as trouvé le premier fichier sfmgr.exe, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier sfmgr.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

3°- Merci pour ta collaboration

B)- Télécharge gmer à partir de : http://www2.gmer.net/gmer.zip
Déconnecte-toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse-le s'executer.
Clic sur l'onglet "rootkit"
Clic sur Scan
Ce scan terminé, arrête le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout).
Poste le rapport SVP.
Merci

C)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.

Tu copies et colles ce rapport sur le forum

D)- Je ne connais pas ce "Viguard" sur lequel tu écris: « il n i a que viguard qui me l intercepte »
- Nous ne proposons plus "Avast" sur lequel tu écris pertinemment: « comment ca ce fais que avast ne me l ai pas virer quand il l a detecter » ==> et pour cause, il ne signale l'infection que dès lors que ton PC est infecté!

Alors, voici ce que je te propose:

1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
et qui prend en compte la case Rootkit.
- En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).

TUTORIELS :
< https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < http://www.malekal.com/tutorial_antivir.html >
- ou < http://www.libellules.ch/tuto_antivir.php >

2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >

- Dans un premier temps, mets hors service ce "Viguard"; nous verrons ensuite s'il faut également le désinstaller.

3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

4)- Attention :
Sers-toi du tutoriel pour installer ANTIVIR,
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

Lancer Antivir en Scan complet ( analyse avancée )

L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
- Cliquer sur l’onglet « scanner »
- Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"

Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).

E)- J'ai besoin du résultat de Virustotal pour poursuivre.
Termine bien ce que je demande.

Il est l'heure pour moi de passer au lit. Désolé.
Merci
Al.
0
Réponse 7 / 20
reyvax50 Messages postés 360 Statut Membre 23
 
XD al, encore un fan de Malekal et d'Antivir (Et tu as bien raison :D )
0
Réponse 8 / 20
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Salut reyvax50,

Je ne suis fan de personne ni de rien du tout; SAUF de ce qui fonctionne, et de ceux qui m'aident et me respectent.
Je propose aussi ce que je connais; et jamais ce que je ne connais pas; comme ce innoculer.
J'attends d'en voir l'efficacité.

Désolé, mais je dois me mettre au lit.
Je compte sur toi pour laisser OOaps terminer ce que j'ai préconisé.
Es-tu informé de la dernière infection Bagle pour laquelle Elibagla n'arrête pas de mettre à jour ses signatures ?

Bonne nuit ;)
Al.
0
Réponse 9 / 20
reyvax50 Messages postés 360 Statut Membre 23
 
Donc si tu es fan de ce qui marche , tu ne peut qu'etre fan de Malekal :p

Pour inoculer c'est assez pratique lorsque l'on a pas le ce qui faut "sous la main"

Je ne suis pas assez informé sur ce Bagle, si je suis ici c'est parceque ce forum me permet d'apprendre!!!

Bonne nuit a toi aussi,

++

0
Réponse 10 / 20
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour ooaps,

Je voudrais le rapport complet de EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. exécuté le
Sat Jan 19 01:44:19 2008 .
Il se trouve ici : C:\InfoSat.txt, via “Poste de travail” > Disque local C:\
Merci

Al

Salut reyvax50.
0
Réponse 11 / 20
ooaps
 
re

apres une sale nuit me revoila avec des infos

1e j ai recuperer les softs que tu m as demander
j ai lancer gmer et recuperer le log

2 apres j ai fait combofix accepter tous ce qu il voulait et au niveau du redemarrge ca a merder

explorer ne s affichai plus un petit tour ds le gestionnaire et toute les processus lancer par moi n etais plus present via msconfig j ai redemarrer en mode diagnostic et la explorer est ok mais le gestionnaire n affiche plus a ki appartient les processus j ai relancer combofix qui a marcher nikel (petite info en passant a chaque redemarrage de la becane windows me dis k il dois etre reactiver sous 3 jour consequence de bagle??)
toutefois un chkdsk s est lancer au redemarrge et ma supprimer pas mal de merde
concernant elibagle mon ancien rapport et parti je vien de le relancer et je le post
Antivir est installe mais je ne l ai pas encore fais tourner
le dossier sfmgr n est pas dangereux c est mon moteur de rendu brazil pour 3dsmax

elibagle:

Sat Jan 19 12:30:16 2008
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Jan 19 12:30:20 2008
EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 10151
Nº Total de Ficheros: 120109
Nº de Ficheros Analizados: 12476
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

gmer:

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2008-01-19 03:35:19
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.13 ----

SSDT 8416FB6C ZwAcceptConnectPort
SSDT 8416FB74 ZwAccessCheck
SSDT 8416FB7C ZwAccessCheckAndAuditAlarm
SSDT 8416FB84 ZwAccessCheckByType
SSDT 8416FB8C ZwAccessCheckByTypeAndAuditAlarm
SSDT 8416FB94 ZwAccessCheckByTypeResultList
SSDT 8416FB9C ZwAccessCheckByTypeResultListAndAuditAlarm
SSDT 8416FBA4 ZwAccessCheckByTypeResultListAndAuditAlarmByHandle
SSDT 8416FBAC ZwAddAtom
SSDT 8416FBB4 ZwAddBootEntry
SSDT 8416FBBC ZwAdjustGroupsToken
SSDT 8416FBC4 ZwAdjustPrivilegesToken
SSDT 8416FBCC ZwAlertResumeThread
SSDT 8416FBD4 ZwAlertThread
SSDT 8416FBDC ZwAllocateLocallyUniqueId
SSDT 8416FBE4 ZwAllocateUserPhysicalPages
SSDT 8416FBEC ZwAllocateUuids
SSDT 8416FBF4 ZwAllocateVirtualMemory
SSDT 8416FBFC ZwAreMappedFilesTheSame
SSDT 8416FC04 ZwAssignProcessToJobObject
SSDT 8416FC0C ZwCallbackReturn
SSDT 8416FC14 ZwCancelDeviceWakeupRequest
SSDT 8416FC1C ZwCancelIoFile
SSDT 8416FC24 ZwCancelTimer
SSDT 8416FC2C ZwClearEvent
SSDT 8416FC34 ZwClose
SSDT 8416FC3C ZwCloseObjectAuditAlarm
SSDT 8416FC44 ZwCompactKeys
SSDT 8416FC4C ZwCompareTokens
SSDT 8416FC54 ZwCompleteConnectPort
SSDT 8416FC5C ZwCompressKey
SSDT 8416FC64 ZwConnectPort
SSDT 8416FC6C ZwContinue
SSDT 8416FC74 ZwCreateDebugObject
SSDT 8416FC7C ZwCreateDirectoryObject
SSDT 8416FC84 ZwCreateEvent
SSDT 8416FC8C ZwCreateEventPair
SSDT 8416FC94 ZwCreateFile
SSDT 8416FC9C ZwCreateIoCompletion
SSDT 8416FCA4 ZwCreateJobObject
SSDT 8416FCAC ZwCreateJobSet
SSDT 8416FCB4 ZwCreateKey
SSDT 8416FCBC ZwCreateMailslotFile
SSDT 8416FCC4 ZwCreateMutant
SSDT 8416FCCC ZwCreateNamedPipeFile
SSDT 8416FCD4 ZwCreatePagingFile
SSDT 8416FCDC ZwCreatePort
SSDT 8416FCE4 ZwCreateProcess
SSDT 8416FCEC ZwCreateProcessEx
SSDT 8416FCF4 ZwCreateProfile
SSDT 8416FCFC ZwCreateSection
SSDT 8416FD04 ZwCreateSemaphore
SSDT 8416FD0C ZwCreateSymbolicLinkObject
SSDT 8416FD14 ZwCreateThread
SSDT 8416FD1C ZwCreateTimer
SSDT 8416FD24 ZwCreateToken
SSDT 8416FD2C ZwCreateWaitablePort
SSDT 8416FD34 ZwDebugActiveProcess
SSDT 8416FD3C ZwDebugContinue
SSDT 8416FD44 ZwDelayExecution
SSDT 8416FD4C ZwDeleteAtom
SSDT 8416FD54 ZwDeleteBootEntry
SSDT 8416FD5C ZwDeleteFile
SSDT 8416FD64 ZwDeleteKey
SSDT 8416FD6C ZwDeleteObjectAuditAlarm
SSDT 8416FD74 ZwDeleteValueKey
SSDT 8416FD7C ZwDeviceIoControlFile
SSDT 8416FD84 ZwDisplayString
SSDT 8416FD8C ZwDuplicateObject
SSDT 8416FD94 ZwDuplicateToken
SSDT 8416FD9C ZwEnumerateBootEntries
SSDT 8416FDA4 ZwEnumerateKey
SSDT 8416FDAC ZwEnumerateSystemEnvironmentValuesEx
SSDT 8416FDB4 ZwEnumerateValueKey
SSDT 8416FDBC ZwExtendSection
SSDT 8416FDC4 ZwFilterToken
SSDT 8416FDCC ZwFindAtom
SSDT 8416FDD4 ZwFlushBuffersFile
SSDT 8416FDDC ZwFlushInstructionCache
SSDT 8416FDE4 ZwFlushKey
SSDT 8416FDEC ZwFlushVirtualMemory
SSDT 8416FDF4 ZwFlushWriteBuffer
SSDT 8416FDFC ZwFreeUserPhysicalPages
SSDT 8416FE04 ZwFreeVirtualMemory
SSDT 8416FE0C ZwFsControlFile
SSDT 8416FE14 ZwGetContextThread
SSDT 8416FE1C ZwGetDevicePowerState
SSDT 8416FE24 ZwGetPlugPlayEvent
SSDT 8416FE2C ZwGetWriteWatch
SSDT 8416FE34 ZwImpersonateAnonymousToken
SSDT 8416FE3C ZwImpersonateClientOfPort
SSDT 8416FE44 ZwImpersonateThread
SSDT 8416FE4C ZwInitializeRegistry
SSDT 8416FE54 ZwInitiatePowerAction
SSDT 8416FE5C ZwIsProcessInJob
SSDT 8416FE64 ZwIsSystemResumeAutomatic
SSDT 8416FE6C ZwListenPort
SSDT 8416FE74 ZwLoadDriver
SSDT 8416FE7C ZwLoadKey
SSDT 8416FE84 ZwLoadKey2
SSDT 8416FE8C ZwLockFile
SSDT 8416FE94 ZwLockProductActivationKeys
SSDT 8416FE9C ZwLockRegistryKey
SSDT 8416FEA4 ZwLockVirtualMemory
SSDT 8416FEAC ZwMakePermanentObject
SSDT 8416FEB4 ZwMakeTemporaryObject
SSDT 8416FEBC ZwMapUserPhysicalPages
SSDT 8416FEC4 ZwMapUserPhysicalPagesScatter
SSDT 8416FECC ZwMapViewOfSection
SSDT 8416FED4 ZwModifyBootEntry
SSDT 8416FEDC ZwNotifyChangeDirectoryFile
SSDT 8416FEE4 ZwNotifyChangeKey
SSDT 8416FEEC ZwNotifyChangeMultipleKeys
SSDT 8416FEF4 ZwOpenDirectoryObject
SSDT 8416FEFC ZwOpenEvent
SSDT 8416FF04 ZwOpenEventPair
SSDT 8416FF0C ZwOpenFile
SSDT 8416FF14 ZwOpenIoCompletion
SSDT 8416FF1C ZwOpenJobObject
SSDT 8416FF24 ZwOpenKey
SSDT 8416FF2C ZwOpenMutant
SSDT 8416FF34 ZwOpenObjectAuditAlarm
SSDT 8416FF3C ZwOpenProcess
SSDT 8416FF44 ZwOpenProcessToken
SSDT 8416FF4C ZwOpenProcessTokenEx
SSDT 8416FF54 ZwOpenSection
SSDT 8416FF5C ZwOpenSemaphore
SSDT 8416FF64 ZwOpenSymbolicLinkObject
SSDT 8416FF6C ZwOpenThread
SSDT 8416FF74 ZwOpenThreadToken
SSDT 8416FF7C ZwOpenThreadTokenEx
SSDT 8416FF84 ZwOpenTimer
SSDT 8416FF8C ZwPlugPlayControl
SSDT 8416FF94 ZwPowerInformation
SSDT 8416FF9C ZwPrivilegeCheck
SSDT 8416FFA4 ZwPrivilegeObjectAuditAlarm
SSDT 8416FFAC ZwPrivilegedServiceAuditAlarm
SSDT 8416FFB4 ZwProtectVirtualMemory
SSDT 8416FFBC ZwPulseEvent
SSDT 8416FFC4 ZwQueryAttributesFile
SSDT 8416FFCC ZwQueryBootEntryOrder
SSDT 8416FFD4 ZwQueryBootOptions
SSDT 8416FFDC ZwQueryDebugFilterState
SSDT 8416FFE4 ZwQueryDefaultLocale
SSDT 8416FFEC ZwQueryDefaultUILanguage
SSDT 8416FFF4 ZwQueryDirectoryFile
SSDT 8416FFFC ZwQueryDirectoryObject
SSDT 84170004 ZwQueryEaFile
SSDT 8417000C ZwQueryEvent
SSDT 84170014 ZwQueryFullAttributesFile
SSDT 8417001C ZwQueryInformationAtom
SSDT 84170024 ZwQueryInformationFile
SSDT 8417002C ZwQueryInformationJobObject
SSDT 84170034 ZwQueryInformationPort
SSDT 8417003C ZwQueryInformationProcess
SSDT 84170044 ZwQueryInformationThread
SSDT 8417004C ZwQueryInformationToken
SSDT 84170054 ZwQueryInstallUILanguage
SSDT 8417005C ZwQueryIntervalProfile
SSDT 84170064 ZwQueryIoCompletion
SSDT 8417006C ZwQueryKey
SSDT 84170074 ZwQueryMultipleValueKey
SSDT 8417007C ZwQueryMutant
SSDT 84170084 ZwQueryObject
SSDT 8417008C ZwQueryOpenSubKeys
SSDT 84170094 ZwQueryPerformanceCounter
SSDT 8417009C ZwQueryQuotaInformationFile
SSDT 841700A4 ZwQuerySection
SSDT 841700AC ZwQuerySecurityObject
SSDT 841700B4 ZwQuerySemaphore
SSDT 841700BC ZwQuerySymbolicLinkObject
SSDT 841700C4 ZwQuerySystemEnvironmentValue
SSDT 841700CC ZwQuerySystemEnvironmentValueEx
SSDT 841700D4 ZwQuerySystemInformation
SSDT 841700DC ZwQuerySystemTime
SSDT 841700E4 ZwQueryTimer
SSDT 841700EC ZwQueryTimerResolution
SSDT 841700F4 ZwQueryValueKey
SSDT 841700FC ZwQueryVirtualMemory
SSDT 84170104 ZwQueryVolumeInformationFile
SSDT 8417010C ZwQueueApcThread
SSDT 84170114 ZwRaiseException
SSDT 8417011C ZwRaiseHardError
SSDT 84170124 ZwReadFile
SSDT 8417012C ZwReadFileScatter
SSDT 84170134 ZwReadRequestData
SSDT 8417013C ZwReadVirtualMemory
SSDT 84170144 ZwRegisterThreadTerminatePort
SSDT 8417014C ZwReleaseMutant
SSDT 84170154 ZwReleaseSemaphore
SSDT 8417015C ZwRemoveIoCompletion
SSDT 84170164 ZwRemoveProcessDebug
SSDT 8417016C ZwRenameKey
SSDT 84170174 ZwReplaceKey
SSDT 8417017C ZwReplyPort
SSDT 84170184 ZwReplyWaitReceivePort
SSDT 8417018C ZwReplyWaitReceivePortEx
SSDT 84170194 ZwReplyWaitReplyPort
SSDT 8417019C ZwRequestDeviceWakeup
SSDT 841701A4 ZwRequestPort
SSDT 841701AC ZwRequestWaitReplyPort
SSDT 841701B4 ZwRequestWakeupLatency
SSDT 841701BC ZwResetEvent
SSDT 841701C4 ZwResetWriteWatch
SSDT 841701CC ZwRestoreKey
SSDT 841701D4 ZwResumeProcess
SSDT 841701DC ZwResumeThread
SSDT 841701E4 ZwSaveKey
SSDT 841701EC ZwSaveKeyEx
SSDT 841701F4 ZwSaveMergedKeys
SSDT 841701FC ZwSecureConnectPort
SSDT 84170204 ZwSetBootEntryOrder
SSDT 8417020C ZwSetBootOptions
SSDT 84170214 ZwSetContextThread
SSDT 8417021C ZwSetDebugFilterState
SSDT 84170224 ZwSetDefaultHardErrorPort
SSDT 8417022C ZwSetDefaultLocale
SSDT 84170234 ZwSetDefaultUILanguage
SSDT 8417023C ZwSetEaFile
SSDT 84170244 ZwSetEvent
SSDT 8417024C ZwSetEventBoostPriority
SSDT 84170254 ZwSetHighEventPair
SSDT 8417025C ZwSetHighWaitLowEventPair
SSDT 84170264 ZwSetInformationDebugObject
SSDT 8417026C ZwSetInformationFile
SSDT 84170274 ZwSetInformationJobObject
SSDT 8417027C ZwSetInformationKey
SSDT 84170284 ZwSetInformationObject
SSDT 8417028C ZwSetInformationProcess
SSDT 84170294 ZwSetInformationThread
SSDT 8417029C ZwSetInformationToken
SSDT 841702A4 ZwSetIntervalProfile
SSDT 841702AC ZwSetIoCompletion
SSDT 841702B4 ZwSetLdtEntries
SSDT 841702BC ZwSetLowEventPair
SSDT 841702C4 ZwSetLowWaitHighEventPair
SSDT 841702CC ZwSetQuotaInformationFile
SSDT 841702D4 ZwSetSecurityObject
SSDT 841702DC ZwSetSystemEnvironmentValue
SSDT 841702E4 ZwSetSystemEnvironmentValueEx
SSDT 841702EC ZwSetSystemInformation
SSDT 841702F4 ZwSetSystemPowerState
SSDT 841702FC ZwSetSystemTime
SSDT 84170304 ZwSetThreadExecutionState
SSDT 8417030C ZwSetTimer
SSDT 84170314 ZwSetTimerResolution
SSDT 8417031C ZwSetUuidSeed
SSDT 84170324 ZwSetValueKey
SSDT 8417032C ZwSetVolumeInformationFile
SSDT 84170334 ZwShutdownSystem
SSDT 8417033C ZwSignalAndWaitForSingleObject
SSDT 84170344 ZwStartProfile
SSDT 8417034C ZwStopProfile
SSDT 84170354 ZwSuspendProcess
SSDT 8417035C ZwSuspendThread
SSDT 84170364 ZwSystemDebugControl
SSDT 8417036C ZwTerminateJobObject
SSDT 84170374 ZwTerminateProcess
SSDT 8417037C ZwTerminateThread
SSDT 84170384 ZwTestAlert
SSDT 8417038C ZwTraceEvent
SSDT 84170394 ZwTranslateFilePath
SSDT 8417039C ZwUnloadDriver
SSDT 841703A4 ZwUnloadKey
SSDT 841703AC ZwUnloadKeyEx
SSDT 841703B4 ZwUnlockFile
SSDT 841703BC ZwUnlockVirtualMemory
SSDT 841703C4 ZwUnmapViewOfSection
SSDT 841703CC ZwVdmControl
SSDT 841703D4 ZwWaitForDebugEvent
SSDT 841703DC ZwWaitForMultipleObjects
SSDT 841703E4 ZwWaitForSingleObject
SSDT 841703EC ZwWaitHighEventPair
SSDT 841703F4 ZwWaitLowEventPair
SSDT 841703FC ZwWriteFile
SSDT 84170404 ZwWriteFileGather
SSDT 8417040C ZwWriteRequestData
SSDT 84170414 ZwWriteVirtualMemory
SSDT 8417041C ZwYieldExecution
SSDT 84170424 ZwCreateKeyedEvent
SSDT 8417042C ZwOpenKeyedEvent
SSDT 84170434 ZwReleaseKeyedEvent
SSDT 8417043C ZwWaitForKeyedEvent
SSDT 84170444 ZwQueryPortInformationProcess

INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys F75BA16D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys F75B9FC2

Code 8583C268 ZwCreateSection
Code 85825E10 ZwDeleteKey
Code 85826E60 ZwDeleteValueKey
Code 85827668 ZwMapViewOfSection
Code 85828758 ZwOpenProcess
Code 857D2D2B KeAddSystemServiceTable
Code 8583C267 NtCreateSection
Code 85827667 NtMapViewOfSection
Code 85828757 NtOpenProcess

---- Kernel code sections - GMER 1.0.13 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2B8C 80503940 728 Bytes [ 6C, FB, 16, 84, 74, FB, 16, ... ]
.text ntkrnlpa.exe!ZwCallbackReturn + 2E65 80503C19 291 Bytes [ 01, 17, 84, 24, 01, 17, 84, ... ]
.text ntkrnlpa.exe!ZwCallbackReturn + 2F89 80503D3D 115 Bytes [ 03, 17, 84, 6C, 03, 17, 84, ... ]
PAGE ntkrnlpa.exe!KeAddSystemServiceTable 805A008A 5 Bytes JMP 857D2D30
PAGE ntkrnlpa.exe!NtCreateSection 805A9E9E 5 Bytes JMP 8583C26C
PAGE ntkrnlpa.exe!NtMapViewOfSection 805B0A7E 5 Bytes JMP 8582766C
PAGE ntkrnlpa.exe!NtOpenProcess 805C9CFE 5 Bytes JMP 8582875C
PAGE ntkrnlpa.exe!ZwDeleteKey 80622594 5 Bytes JMP 85825E14
PAGE ntkrnlpa.exe!ZwDeleteValueKey 80622764 5 Bytes JMP 85826E64
? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
? C:\WINDOWS\System32\Drivers\SPTD8205.SYS Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
? C:\WINDOWS\System32\Drivers\dtscsi.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

---- User code sections - GMER 1.0.13 ----

.text C:\Program Files\ViGUARD\ViGUARD.EXE[1804] kernel32.dll!CreateThread + 1A 7C810651 4 Bytes [ 1B, D0, 9C, 87 ]

---- Kernel IAT/EAT - GMER 1.0.13 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F72B7A32] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F72B7B6E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F72B7AF6] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F72B86CC] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72B85A2] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F72D9C82] sptd.sys

---- Devices - GMER 1.0.13 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F78027D0] ShlDrv51.sys
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F7802C70] ShlDrv51.sys
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8583C4D0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8583C4D0

AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F7207060] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F72070B0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F7207290] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F7206FA0] VirBlock.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F7206FA0] VirBlock.sys

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSE 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_READ 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP 84593BE8
Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP 84593BE8

AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F7207060] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F72070B0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [F7207290] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F7207060] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F72070B0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_READ [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [F7207290] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_POWER [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL [F7206FA0] VirBlock.sys
AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE [F7206FA0]
0
Réponse 12 / 20
ooaps
 
suite des logs:

combo fix:

ComboFix 08-01-18.5 - user 2008-01-19 12:09:34.2 - NTFSx86

Running from: C:\Documents and Settings\user\Bureau\combofix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mdelk.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-19 to 2008-01-19 ))))))))))))))))))))))))))))))))))))
.

2008-01-19 12:17 . 2008-01-19 12:17 <REP> d--hs---- C:\found.000
2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Program Files\Avira
2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-19 03:33 . 2008-01-19 03:33 250 --a------ C:\WINDOWS\gmer.ini
2008-01-19 02:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-19 01:57 . 2008-01-19 02:03 <REP> d-------- C:\WINDOWS\avxoscan
2008-01-19 01:13 . 2008-01-19 01:13 <REP> d-------- C:\Program Files\Uniblue
2008-01-19 00:38 . 2008-01-19 00:38 <REP> d-------- C:\Program Files\Trend Micro
2008-01-19 00:03 . 2008-01-19 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-01-18 23:24 . 2008-01-19 03:39 <REP> d-------- C:\Program Files\ViGUARD
2008-01-18 23:24 . 2008-01-19 02:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ViGUARD
2008-01-18 20:59 . 2008-01-18 21:21 <REP> d-------- C:\Program Files\Yahoo!
2008-01-18 20:57 . 2008-01-18 20:57 <REP> d-------- C:\Program Files\Panda Software
2008-01-18 20:50 . 2008-01-18 20:50 <REP> d-------- C:\Program Files\Fichiers communs\Panda Software
2008-01-18 20:50 . 2007-05-24 13:28 178,872 --a------ C:\WINDOWS\system32\drivers\PavProc.sys
2008-01-18 20:50 . 2007-05-23 16:40 38,968 --a------ C:\WINDOWS\system32\drivers\ShlDrv51.sys
2008-01-18 20:17 . 2008-01-18 20:17 <REP> d-------- C:\Soundtrack - 2006 Weeds Volume 2 (TV) (128) Various Artists - OST BSO BOF - Mr. Yusseply
2008-01-18 20:01 . 2001-08-23 17:16 596,319 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys
2008-01-18 20:00 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys
2008-01-18 20:00 . 2001-08-17 20:19 174,464 --a--c--- C:\WINDOWS\system32\dllcache\es198x.sys
2008-01-18 20:00 . 2001-08-17 21:50 114,944 --a--c--- C:\WINDOWS\system32\dllcache\epstw2k.sys
2008-01-18 20:00 . 2001-08-17 20:19 72,192 --a--c--- C:\WINDOWS\system32\dllcache\es1969.sys
2008-01-18 20:00 . 2001-08-23 17:47 62,464 --a--c--- C:\WINDOWS\system32\dllcache\eqnloop.exe
2008-01-18 20:00 . 2001-08-23 17:47 53,760 --a--c--- C:\WINDOWS\system32\dllcache\eqndiag.exe
2008-01-18 20:00 . 2001-08-23 17:47 51,712 --a--c--- C:\WINDOWS\system32\dllcache\eqnlogr.exe
2008-01-18 20:00 . 2001-08-17 20:19 40,704 --a--c--- C:\WINDOWS\system32\dllcache\es1371mp.sys
2008-01-18 20:00 . 2001-08-17 20:19 37,120 --a--c--- C:\WINDOWS\system32\dllcache\es1370mp.sys
2008-01-18 19:59 . 2001-08-17 20:19 283,904 --a--c--- C:\WINDOWS\system32\dllcache\emu10k1m.sys
2008-01-18 19:59 . 2001-08-23 17:13 175,104 --a--c--- C:\WINDOWS\system32\dllcache\el99xn51.sys
2008-01-18 19:59 . 2001-08-17 21:50 144,896 --a--c--- C:\WINDOWS\system32\dllcache\epcfw2k.sys
2008-01-18 19:59 . 2001-08-17 20:10 25,159 --a--c--- C:\WINDOWS\system32\dllcache\elnk3.sys
2008-01-18 19:59 . 2001-08-17 20:10 19,996 --a--c--- C:\WINDOWS\system32\dllcache\em556n4.sys
2008-01-18 19:59 . 2001-08-17 20:12 18,503 --a--c--- C:\WINDOWS\system32\dllcache\epro4.sys
2008-01-18 19:59 . 2001-08-17 21:53 7,296 --a--c--- C:\WINDOWS\system32\dllcache\elmsmc.sys
2008-01-18 19:58 . 2001-08-23 17:13 634,166 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
2008-01-18 19:58 . 2001-08-23 17:13 455,711 --a--c--- C:\WINDOWS\system32\dllcache\el985n51.sys
2008-01-18 19:58 . 2001-08-23 17:13 241,238 --a--c--- C:\WINDOWS\system32\dllcache\el656se5.sys
2008-01-18 19:58 . 2001-08-23 17:13 153,631 --a--c--- C:\WINDOWS\system32\dllcache\el90xnd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 77,386 --a--c--- C:\WINDOWS\system32\dllcache\el656nd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 70,174 --a--c--- C:\WINDOWS\system32\dllcache\el98xn5.sys
2008-01-18 19:58 . 2001-08-17 20:10 69,692 --a--c--- C:\WINDOWS\system32\dllcache\el575nd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 69,194 --a--c--- C:\WINDOWS\system32\dllcache\el656cd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 66,591 --a--c--- C:\WINDOWS\system32\dllcache\el90xbc5.sys
2008-01-18 19:58 . 2001-08-17 20:10 26,141 --a--c--- C:\WINDOWS\system32\dllcache\el589nd5.sys
2008-01-18 19:57 . 2001-08-17 20:20 334,208 --a--c--- C:\WINDOWS\system32\dllcache\ds1wdm.sys
2008-01-18 19:57 . 2001-08-23 17:12 117,760 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys
2008-01-18 19:57 . 2001-08-17 20:10 55,999 --a--c--- C:\WINDOWS\system32\dllcache\el556nd5.sys
2008-01-18 19:57 . 2001-08-23 17:12 51,743 --a--c--- C:\WINDOWS\system32\dllcache\e1000nt5.sys
2008-01-18 19:57 . 2001-08-23 17:13 44,615 --a--c--- C:\WINDOWS\system32\dllcache\el515.sys
2008-01-18 19:57 . 2001-08-17 20:10 24,653 --a--c--- C:\WINDOWS\system32\dllcache\el574nd4.sys
2008-01-18 19:57 . 2004-08-19 16:10 20,992 --a--c--- C:\WINDOWS\system32\dllcache\dshowext.ax
2008-01-18 19:57 . 2001-08-17 22:07 20,192 --a--c--- C:\WINDOWS\system32\dllcache\dpti2o.sys
2008-01-18 19:57 . 2001-08-17 20:12 19,594 --a--c--- C:\WINDOWS\system32\dllcache\e100isa4.sys
2008-01-18 19:55 . 2001-08-23 17:47 622,621 --a--c--- C:\WINDOWS\system32\dllcache\digiview.exe
2008-01-18 19:55 . 2001-08-23 17:47 236,060 --a--c--- C:\WINDOWS\system32\dllcache\ditrace.exe
2008-01-18 19:55 . 2001-08-23 17:47 110,621 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.dll
2008-01-18 19:55 . 2001-08-17 20:13 91,305 --a--c--- C:\WINDOWS\system32\dllcache\dimaint.sys
2008-01-18 19:55 . 2001-08-23 17:10 42,656 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.sys
2008-01-18 19:55 . 2001-08-23 17:47 41,046 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.dll
2008-01-18 19:55 . 2001-08-23 17:47 38,985 --a--c--- C:\WINDOWS\system32\dllcache\disrvsu.dll
2008-01-18 19:55 . 2001-08-23 17:47 31,817 --a--c--- C:\WINDOWS\system32\dllcache\disrvpp.dll
2008-01-18 19:55 . 2001-08-17 20:14 21,606 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.sys
2008-01-18 19:55 . 2001-08-23 17:47 6,729 --a--c--- C:\WINDOWS\system32\dllcache\disrvci.dll
2008-01-18 19:54 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll
2008-01-18 19:54 . 2001-08-23 17:47 229,462 --a--c--- C:\WINDOWS\system32\dllcache\digifwrk.dll
2008-01-18 19:54 . 2001-08-23 17:47 159,828 --a--c--- C:\WINDOWS\system32\dllcache\digihlc.dll
2008-01-18 19:54 . 2001-08-23 17:47 135,252 --a--c--- C:\WINDOWS\system32\dllcache\digidbp.dll
2008-01-18 19:54 . 2001-08-23 17:10 103,492 --a--c--- C:\WINDOWS\system32\dllcache\digidxb.sys
2008-01-18 19:54 . 2001-08-23 17:47 102,484 --a--c--- C:\WINDOWS\system32\dllcache\digiinf.dll
2008-01-18 19:54 . 2001-08-23 17:10 90,685 --a--c--- C:\WINDOWS\system32\dllcache\digifep5.sys
2008-01-18 19:54 . 2001-08-23 17:47 65,622 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.dll
2008-01-18 19:54 . 2001-08-23 17:10 37,927 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.sys
2008-01-18 19:54 . 2001-08-23 17:09 29,691 --a--c--- C:\WINDOWS\system32\dllcache\dgapci.sys
2008-01-18 19:53 . 2001-08-23 17:47 256,512 --a--c--- C:\WINDOWS\system32\dllcache\devcon32.dll
2008-01-18 19:53 . 2001-08-23 17:47 112,128 --a--c--- C:\WINDOWS\system32\dllcache\dc260usd.dll
2008-01-18 19:53 . 2001-08-23 17:47 87,552 --a--c--- C:\WINDOWS\system32\dllcache\dc240usd.dll
2008-01-18 19:53 . 2001-08-17 20:12 63,208 --a--c--- C:\WINDOWS\system32\dllcache\dc21x4.sys
2008-01-18 19:53 . 2001-08-17 20:11 24,649 --a--c--- C:\WINDOWS\system32\dllcache\dfe650d.sys
2008-01-18 19:53 . 2001-08-17 20:11 24,648 --a--c--- C:\WINDOWS\system32\dllcache\dfe650.sys
2008-01-18 19:53 . 2001-08-23 17:47 24,064 --a--c--- C:\WINDOWS\system32\dllcache\devldr32.exe
2008-01-18 19:53 . 2001-08-17 20:11 20,928 --a--c--- C:\WINDOWS\system32\dllcache\defpa.sys
2008-01-18 19:53 . 2001-08-17 21:52 7,424 --a--c--- C:\WINDOWS\system32\dllcache\ddsmc.sys
2008-01-18 19:52 . 2001-08-17 21:52 179,584 --a--c--- C:\WINDOWS\system32\dllcache\dac2w2k.sys
2008-01-18 19:52 . 2001-08-23 17:08 117,760 --a--c--- C:\WINDOWS\system32\dllcache\d100ib5.sys
2008-01-18 19:52 . 2001-08-23 17:47 82,432 --a--c--- C:\WINDOWS\system32\dllcache\dc210usd.dll
2008-01-18 19:52 . 2001-08-23 17:08 50,688 --a--c--- C:\WINDOWS\system32\dllcache\cyzport.sys
2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzports.dll
2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzcoins.dll
2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyyports.dll
2008-01-18 19:52 . 2001-08-23 17:47 25,600 --a--c--- C:\WINDOWS\system32\dllcache\dc210_32.dll
2008-01-18 19:52 . 2001-08-17 21:52 14,720 --a--c--- C:\WINDOWS\system32\dllcache\dac960nt.sys
2008-01-18 19:50 . 2004-08-19 16:09 252,416 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
2008-01-18 19:50 . 2001-08-23 17:47 216,576 --a--c--- C:\WINDOWS\system32\dllcache\cpscan.dll
2008-01-18 19:50 . 2001-08-23 17:47 175,104 --a--c--- C:\WINDOWS\system32\dllcache\csamsp.dll
2008-01-18 19:50 . 2001-08-17 20:19 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ctlsb16.sys
2008-01-18 19:50 . 2001-08-23 17:07 61,194 --a--c--- C:\WINDOWS\system32\dllcache\cpqtrnd5.sys
2008-01-18 19:50 . 2001-08-17 20:19 42,112 --a--c--- C:\WINDOWS\system32\dllcache\crtaud.sys
2008-01-18 19:50 . 2001-08-23 17:07 21,533 --a--c--- C:\WINDOWS\system32\dllcache\cpqndis5.sys
2008-01-18 19:50 . 2001-08-17 21:52 14,976 --a--c--- C:\WINDOWS\system32\dllcache\cpqarray.sys
2008-01-18 19:50 . 2001-08-17 20:19 6,912 --a--c--- C:\WINDOWS\system32\dllcache\ctlfacem.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 02:00 96,256 ---ha-w C:\WINDOWS\system32\drivers\sptd8205.sys
2008-01-18 19:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-18 14:24 --------- d-----w C:\Program Files\Macromedia
2008-01-18 14:24 --------- d-----w C:\Program Files\Fichiers communs\Macromedia
2008-01-18 13:14 --------- d-----w C:\Documents and Settings\user\Application Data\OpenOffice.org2
2008-01-11 20:40 --------- d-----w C:\Program Files\Windows Live
2008-01-11 20:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-01-08 00:42 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-12-29 21:39 --------- d-----w C:\Program Files\BSPlayer
2007-12-08 21:40 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-12-08 20:59 --------- d-----w C:\Program Files\OpenAL
2007-11-28 21:47 --------- d-----w C:\Program Files\ReflexiveArcade
2007-11-26 22:18 --------- d-----w C:\Program Files\Google
2007-11-24 22:12 --------- d-----w C:\Program Files\directx
2007-11-24 19:35 --------- d-----w C:\Program Files\Project64 1.6
2007-11-24 01:14 223,128 ---ha-w C:\WINDOWS\system32\drivers\dtscsi.sys
2007-11-24 01:14 --------- d-----w C:\Program Files\DAEMON Tools
2007-11-24 01:04 642,560 ---ha-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-24 00:45 --------- d-----w C:\Program Files\PowerQuest
2007-11-24 00:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield
2007-11-23 17:45 --------- d-----w C:\Documents and Settings\user\Application Data\dvdcss
2007-11-23 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles
2007-11-23 16:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\NVIDIA
2007-11-23 14:33 --------- d-----w C:\Program Files\THQ
2007-11-23 13:08 --------- d-----w C:\Documents and Settings\user\Application Data\DivX
2007-11-23 12:29 --------- d-----w C:\Program Files\SLD Codec Pack
2007-11-09 09:07 14,656 ----a-w C:\WINDOWS\gdrv.sys
2007-11-09 09:06 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-01-10 13:29 2577840]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
"german.exe"="C:\WINDOWS\system32\wintems.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 07:35 7634944]
"nwiz"="nwiz.exe" [2006-10-31 07:35 1622016 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 12:41 196608]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-01 01:09 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-16 11:37 185896]
"WOOTASKBARICON"="C:\Program Files\Wanadoo\taskbaricon.exe" [2004-10-05 17:00 61440]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-19 03:48 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^user^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=C:\Documents and Settings\user\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 2008-01-10 13:29 2577840 C:\Program Files\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2004-04-13 06:07 69632 C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-31 07:35 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-01 01:09 155648 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-06-14 18:32 132760 C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 14:50 122880 C:\PROGRA~1\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 16:55 32768 C:\PROGRA~1\Wanadoo\GestMaj.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 14:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"WudfSvc"=3 (0x3)
"wuauserv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"VigService"=2 (0x2)
"usnjsvc"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"sfmgr"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"PlugPlay"=2 (0x2)
"O&O Defrag"=2 (0x2)
"NVSvc"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"mi-raysat_3dsmax8"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"ImapiService"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"HTTPFilter"=3 (0x3)
"HidServ"=2 (0x2)
"helpsvc"=2 (0x2)
"FTRTSVC"=2 (0x2)
"FontCache3.0.0.0"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"Dnscache"=2 (0x2)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"combofix"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"BITS"=3 (0x3)
"Autodesk Licensing Service"=2 (0x2)
"AudioSrv"=2 (0x2)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=2 (0x2)
"6to4"=2 (0x2)

R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 16:40]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-09 10:07]
S4 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-05-24 13:28]
S4 sfmgr;CaReTaKeR-CT NetMgr 1.2.1;C:\sfmgr\sfmgr.exe [2004-02-11 10:51]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e8367e8-8ea7-11dc-9802-806d6172696f}]
\Shell\AutoRun\command - D:\Run.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 12:19:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-19 12:22:54 - machine was rebooted [user]
ComboFix-quarantined-files.txt 2008-01-19 11:22:52
.
2008-01-11 02:04:35 --- E O F ---

comme tu peux le voir elibagle ne me trouve plus rien toutefois je n ai pas lancer de scan complet
merci
0
Réponse 13 / 20
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

A)- CIT. « le dossier sfmgr n est pas dangereux c est mon moteur de rendu brazil pour 3dsmax »
S4 sfmgr;CaReTaKeR-CT NetMgr 1.2.1;C:\sfmgr\sfmgr.exe [2004-02-11 10:51]
Il me semble qu’il soit arrêté ou désactivé pour le moment.

B)- Traitement

1°- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\WINDOWS\system32\wintems.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"german.exe"=-

4°- Copie le texte sélectionné (CTRL+C).
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V).
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
( En english ==> Save this as ComboFix-Do.txt and change the "Save as type" to "All Files" and place it on your desktop (= bureau). Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png > )

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC

8°- Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

9°- Poste un nouveau rapport ComboFix.txt comme ceci :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum

C)- J'attends le log d'ANTIVIR.

Bonne journée
Al.
0
Réponse 14 / 20
reyvax50 Messages postés 360 Statut Membre 23
 
Salut Al!
Salut All xD!
0
Réponse 15 / 20
ooaps
 
re voila apres 2 heure de scan le rapport antivir je t ai mis tout les un a la suite des autres

AntiVir PersonalEdition Classic
Report file date: samedi 19 janvier 2008 13:04

Scanning for 1056958 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: user
Computer name: OOAPS

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 02:48:59
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 02:48:59
ANTIVIR3.VDF : 7.0.2.20 225792 Bytes 18/01/2008 02:48:59
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 19/01/2008 02:48:59
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/01/2008 02:48:59
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 19 janvier 2008 13:04

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'userinit.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '28' files ).

Starting the file scan:

Begin scan in 'C:\' <OO@pS-1>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\3ds Max 7 - Brazil_RS_1.2.53 + crack.rar
[0] Archive type: RAR
--> setup.exe
[DETECTION] Contains detection pattern of the worm WORM/P2P.Kapucen.Gen
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation Rubbertools v1.51F For 3Dsmax v6 X-Paradox By Efish.rar
[0] Archive type: RAR
--> pdxdr5.001
[1] Archive type: RAR
--> Crack\keyProducer.exe
[DETECTION] Contains suspicious code HEUR/Crypted
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation.F-edge.for.max6.rar
[0] Archive type: RAR
--> f-edge for max6\f-edge.v1.02r4.for.3dsmax5.x6 keygen.exe
[DETECTION] Is the Trojan horse TR/Packed.2466
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation_Rubbertools_v1.51f_for_3DSMAX_v6.x-PARADOX.by.efish.rar
[0] Archive type: RAR
--> pdxdr5.001
[1] Archive type: RAR
--> Crack\keyProducer.exe
[DETECTION] Contains suspicious code HEUR/Crypted
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.exe
[0] Archive type: ZIP SFX (self extracting)
--> CDSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/NETSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/UNADMIN.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> PROG32/HLPRSVC.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47f8edf0.qua'!
C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.zip
[0] Archive type: ZIP
--> vig32fr.exe
[1] Archive type: ZIP SFX (self extracting)
--> CDSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/NETSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/UNADMIN.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> PROG32/HLPRSVC.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47f8edf5.qua'!
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd8205.sys
[WARNING] The file could not be opened!
Begin scan in 'F:\' <OO@pS-2>
F:\pagefile.sys
[WARNING] The file could not be opened!

End of the scan: samedi 19 janvier 2008 14:55
Used time: 1:51:03 min

The scan has been done completely.

13865 Scanning directories
798408 Files were scanned
2 viruses and/or unwanted programs were found
10 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
5 Files cannot be scanned
798406 Files not concerned
5643 Archives were scanned
9 Warnings
339 Notes

AntiVir PersonalEdition Classic
Report file date: samedi 19 janvier 2008 13:03

Scanning for 1056958 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: user
Computer name: OOAPS

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 02:48:59
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 02:48:59
ANTIVIR3.VDF : 7.0.2.20 225792 Bytes 18/01/2008 02:48:59
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 19/01/2008 02:48:59
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/01/2008 02:48:59
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 19 janvier 2008 13:03

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'userinit.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '28' files ).

Starting the file scan:

Begin scan in 'C:\' <OO@pS-1>
C:\pagefile.sys
[WARNING] The file could not be opened!

End of the scan: samedi 19 janvier 2008 13:04
Used time: 01:14 min

The scan has been canceled!

752 Scanning directories
9197 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
9197 Files not concerned
82 Archives were scanned
1 Warnings
0 Notes

AntiVir PersonalEdition Classic
Report file date: 2008-01-19 12:02

Scanning for 1056958 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: OOAPS

Version information:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 02:48:59
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 2008-01-15 02:48:59
ANTIVIR3.VDF : 7.0.2.20 225792 Bytes 2008-01-18 02:48:59
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 2008-01-19 02:48:59
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-01-19 02:48:59
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2008-01-19 12:02

Starting search for hidden objects.

End of the scan: 2008-01-19 12:09
Used time: 06:43 min

The scan has been canceled!

0 Scanning directories
0 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
0 Files cannot be scanned
0 Files not concerned
0 Archives were scanned
0 Warnings
0 Notes
2077 Objects were scanned with rootkit scan
0 Hidden objects were found
0
Réponse 16 / 20
ooaps
 
et concernat ma demande de reactivation??
et pourquoi le gestionnaire n afiche plus les utilisateur des process

encore merci de votre disponibilite
0
Réponse 17 / 20
ooaps
 
voici le log de combo fix:

ComboFix 08-01-18.5 - user 2008-01-19 15:25:29.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.610 [GMT 1:00]
Running from: C:\Documents and Settings\user\Bureau\combofix.exe
Command switches used :: C:\Documents and Settings\user\Bureau\CFScript.txt
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]

FILE
C:\WINDOWS\system32\wintems.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-19 to 2008-01-19 ))))))))))))))))))))))))))))))))))))
.

2008-01-19 12:17 . 2008-01-19 12:17 <REP> d--hs---- C:\found.000
2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Program Files\Avira
2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-19 03:33 . 2008-01-19 03:33 250 --a------ C:\WINDOWS\gmer.ini
2008-01-19 02:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-19 01:57 . 2008-01-19 02:03 <REP> d-------- C:\WINDOWS\avxoscan
2008-01-19 01:13 . 2008-01-19 01:13 <REP> d-------- C:\Program Files\Uniblue
2008-01-19 00:38 . 2008-01-19 00:38 <REP> d-------- C:\Program Files\Trend Micro
2008-01-19 00:03 . 2008-01-19 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-01-18 23:24 . 2008-01-19 03:39 <REP> d-------- C:\Program Files\ViGUARD
2008-01-18 23:24 . 2008-01-19 02:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ViGUARD
2008-01-18 20:59 . 2008-01-18 21:21 <REP> d-------- C:\Program Files\Yahoo!
2008-01-18 20:57 . 2008-01-18 20:57 <REP> d-------- C:\Program Files\Panda Software
2008-01-18 20:50 . 2008-01-18 20:50 <REP> d-------- C:\Program Files\Fichiers communs\Panda Software
2008-01-18 20:50 . 2007-05-24 13:28 178,872 --a------ C:\WINDOWS\system32\drivers\PavProc.sys
2008-01-18 20:50 . 2007-05-23 16:40 38,968 --a------ C:\WINDOWS\system32\drivers\ShlDrv51.sys
2008-01-18 20:17 . 2008-01-18 20:17 <REP> d-------- C:\Soundtrack - 2006 Weeds Volume 2 (TV) (128) Various Artists - OST BSO BOF - Mr. Yusseply
2008-01-18 20:01 . 2001-08-23 17:16 596,319 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys
2008-01-18 20:00 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys
2008-01-18 20:00 . 2001-08-17 20:19 174,464 --a--c--- C:\WINDOWS\system32\dllcache\es198x.sys
2008-01-18 20:00 . 2001-08-17 21:50 114,944 --a--c--- C:\WINDOWS\system32\dllcache\epstw2k.sys
2008-01-18 20:00 . 2001-08-17 20:19 72,192 --a--c--- C:\WINDOWS\system32\dllcache\es1969.sys
2008-01-18 20:00 . 2001-08-23 17:47 62,464 --a--c--- C:\WINDOWS\system32\dllcache\eqnloop.exe
2008-01-18 20:00 . 2001-08-23 17:47 53,760 --a--c--- C:\WINDOWS\system32\dllcache\eqndiag.exe
2008-01-18 20:00 . 2001-08-23 17:47 51,712 --a--c--- C:\WINDOWS\system32\dllcache\eqnlogr.exe
2008-01-18 20:00 . 2001-08-17 20:19 40,704 --a--c--- C:\WINDOWS\system32\dllcache\es1371mp.sys
2008-01-18 20:00 . 2001-08-17 20:19 37,120 --a--c--- C:\WINDOWS\system32\dllcache\es1370mp.sys
2008-01-18 19:59 . 2001-08-17 20:19 283,904 --a--c--- C:\WINDOWS\system32\dllcache\emu10k1m.sys
2008-01-18 19:59 . 2001-08-23 17:13 175,104 --a--c--- C:\WINDOWS\system32\dllcache\el99xn51.sys
2008-01-18 19:59 . 2001-08-17 21:50 144,896 --a--c--- C:\WINDOWS\system32\dllcache\epcfw2k.sys
2008-01-18 19:59 . 2001-08-17 20:10 25,159 --a--c--- C:\WINDOWS\system32\dllcache\elnk3.sys
2008-01-18 19:59 . 2001-08-17 20:10 19,996 --a--c--- C:\WINDOWS\system32\dllcache\em556n4.sys
2008-01-18 19:59 . 2001-08-17 20:12 18,503 --a--c--- C:\WINDOWS\system32\dllcache\epro4.sys
2008-01-18 19:59 . 2001-08-17 21:53 7,296 --a--c--- C:\WINDOWS\system32\dllcache\elmsmc.sys
2008-01-18 19:58 . 2001-08-23 17:13 634,166 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
2008-01-18 19:58 . 2001-08-23 17:13 455,711 --a--c--- C:\WINDOWS\system32\dllcache\el985n51.sys
2008-01-18 19:58 . 2001-08-23 17:13 241,238 --a--c--- C:\WINDOWS\system32\dllcache\el656se5.sys
2008-01-18 19:58 . 2001-08-23 17:13 153,631 --a--c--- C:\WINDOWS\system32\dllcache\el90xnd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 77,386 --a--c--- C:\WINDOWS\system32\dllcache\el656nd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 70,174 --a--c--- C:\WINDOWS\system32\dllcache\el98xn5.sys
2008-01-18 19:58 . 2001-08-17 20:10 69,692 --a--c--- C:\WINDOWS\system32\dllcache\el575nd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 69,194 --a--c--- C:\WINDOWS\system32\dllcache\el656cd5.sys
2008-01-18 19:58 . 2001-08-17 20:11 66,591 --a--c--- C:\WINDOWS\system32\dllcache\el90xbc5.sys
2008-01-18 19:58 . 2001-08-17 20:10 26,141 --a--c--- C:\WINDOWS\system32\dllcache\el589nd5.sys
2008-01-18 19:57 . 2001-08-17 20:20 334,208 --a--c--- C:\WINDOWS\system32\dllcache\ds1wdm.sys
2008-01-18 19:57 . 2001-08-23 17:12 117,760 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys
2008-01-18 19:57 . 2001-08-17 20:10 55,999 --a--c--- C:\WINDOWS\system32\dllcache\el556nd5.sys
2008-01-18 19:57 . 2001-08-23 17:12 51,743 --a--c--- C:\WINDOWS\system32\dllcache\e1000nt5.sys
2008-01-18 19:57 . 2001-08-23 17:13 44,615 --a--c--- C:\WINDOWS\system32\dllcache\el515.sys
2008-01-18 19:57 . 2001-08-17 20:10 24,653 --a--c--- C:\WINDOWS\system32\dllcache\el574nd4.sys
2008-01-18 19:57 . 2004-08-19 16:10 20,992 --a--c--- C:\WINDOWS\system32\dllcache\dshowext.ax
2008-01-18 19:57 . 2001-08-17 22:07 20,192 --a--c--- C:\WINDOWS\system32\dllcache\dpti2o.sys
2008-01-18 19:57 . 2001-08-17 20:12 19,594 --a--c--- C:\WINDOWS\system32\dllcache\e100isa4.sys
2008-01-18 19:55 . 2001-08-23 17:47 622,621 --a--c--- C:\WINDOWS\system32\dllcache\digiview.exe
2008-01-18 19:55 . 2001-08-23 17:47 236,060 --a--c--- C:\WINDOWS\system32\dllcache\ditrace.exe
2008-01-18 19:55 . 2001-08-23 17:47 110,621 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.dll
2008-01-18 19:55 . 2001-08-17 20:13 91,305 --a--c--- C:\WINDOWS\system32\dllcache\dimaint.sys
2008-01-18 19:55 . 2001-08-23 17:10 42,656 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.sys
2008-01-18 19:55 . 2001-08-23 17:47 41,046 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.dll
2008-01-18 19:55 . 2001-08-23 17:47 38,985 --a--c--- C:\WINDOWS\system32\dllcache\disrvsu.dll
2008-01-18 19:55 . 2001-08-23 17:47 31,817 --a--c--- C:\WINDOWS\system32\dllcache\disrvpp.dll
2008-01-18 19:55 . 2001-08-17 20:14 21,606 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.sys
2008-01-18 19:55 . 2001-08-23 17:47 6,729 --a--c--- C:\WINDOWS\system32\dllcache\disrvci.dll
2008-01-18 19:54 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll
2008-01-18 19:54 . 2001-08-23 17:47 229,462 --a--c--- C:\WINDOWS\system32\dllcache\digifwrk.dll
2008-01-18 19:54 . 2001-08-23 17:47 159,828 --a--c--- C:\WINDOWS\system32\dllcache\digihlc.dll
2008-01-18 19:54 . 2001-08-23 17:47 135,252 --a--c--- C:\WINDOWS\system32\dllcache\digidbp.dll
2008-01-18 19:54 . 2001-08-23 17:10 103,492 --a--c--- C:\WINDOWS\system32\dllcache\digidxb.sys
2008-01-18 19:54 . 2001-08-23 17:47 102,484 --a--c--- C:\WINDOWS\system32\dllcache\digiinf.dll
2008-01-18 19:54 . 2001-08-23 17:10 90,685 --a--c--- C:\WINDOWS\system32\dllcache\digifep5.sys
2008-01-18 19:54 . 2001-08-23 17:47 65,622 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.dll
2008-01-18 19:54 . 2001-08-23 17:10 37,927 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.sys
2008-01-18 19:54 . 2001-08-23 17:09 29,691 --a--c--- C:\WINDOWS\system32\dllcache\dgapci.sys
2008-01-18 19:53 . 2001-08-23 17:47 256,512 --a--c--- C:\WINDOWS\system32\dllcache\devcon32.dll
2008-01-18 19:53 . 2001-08-23 17:47 112,128 --a--c--- C:\WINDOWS\system32\dllcache\dc260usd.dll
2008-01-18 19:53 . 2001-08-23 17:47 87,552 --a--c--- C:\WINDOWS\system32\dllcache\dc240usd.dll
2008-01-18 19:53 . 2001-08-17 20:12 63,208 --a--c--- C:\WINDOWS\system32\dllcache\dc21x4.sys
2008-01-18 19:53 . 2001-08-17 20:11 24,649 --a--c--- C:\WINDOWS\system32\dllcache\dfe650d.sys
2008-01-18 19:53 . 2001-08-17 20:11 24,648 --a--c--- C:\WINDOWS\system32\dllcache\dfe650.sys
2008-01-18 19:53 . 2001-08-23 17:47 24,064 --a--c--- C:\WINDOWS\system32\dllcache\devldr32.exe
2008-01-18 19:53 . 2001-08-17 20:11 20,928 --a--c--- C:\WINDOWS\system32\dllcache\defpa.sys
2008-01-18 19:53 . 2001-08-17 21:52 7,424 --a--c--- C:\WINDOWS\system32\dllcache\ddsmc.sys
2008-01-18 19:52 . 2001-08-17 21:52 179,584 --a--c--- C:\WINDOWS\system32\dllcache\dac2w2k.sys
2008-01-18 19:52 . 2001-08-23 17:08 117,760 --a--c--- C:\WINDOWS\system32\dllcache\d100ib5.sys
2008-01-18 19:52 . 2001-08-23 17:47 82,432 --a--c--- C:\WINDOWS\system32\dllcache\dc210usd.dll
2008-01-18 19:52 . 2001-08-23 17:08 50,688 --a--c--- C:\WINDOWS\system32\dllcache\cyzport.sys
2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzports.dll
2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzcoins.dll
2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyyports.dll
2008-01-18 19:52 . 2001-08-23 17:47 25,600 --a--c--- C:\WINDOWS\system32\dllcache\dc210_32.dll
2008-01-18 19:52 . 2001-08-17 21:52 14,720 --a--c--- C:\WINDOWS\system32\dllcache\dac960nt.sys
2008-01-18 19:50 . 2004-08-19 16:09 252,416 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
2008-01-18 19:50 . 2001-08-23 17:47 216,576 --a--c--- C:\WINDOWS\system32\dllcache\cpscan.dll
2008-01-18 19:50 . 2001-08-23 17:47 175,104 --a--c--- C:\WINDOWS\system32\dllcache\csamsp.dll
2008-01-18 19:50 . 2001-08-17 20:19 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ctlsb16.sys
2008-01-18 19:50 . 2001-08-23 17:07 61,194 --a--c--- C:\WINDOWS\system32\dllcache\cpqtrnd5.sys
2008-01-18 19:50 . 2001-08-17 20:19 42,112 --a--c--- C:\WINDOWS\system32\dllcache\crtaud.sys
2008-01-18 19:50 . 2001-08-23 17:07 21,533 --a--c--- C:\WINDOWS\system32\dllcache\cpqndis5.sys
2008-01-18 19:50 . 2001-08-17 21:52 14,976 --a--c--- C:\WINDOWS\system32\dllcache\cpqarray.sys
2008-01-18 19:50 . 2001-08-17 20:19 6,912 --a--c--- C:\WINDOWS\system32\dllcache\ctlfacem.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 02:00 96,256 ---ha-w C:\WINDOWS\system32\drivers\sptd8205.sys
2008-01-18 19:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-18 14:24 --------- d-----w C:\Program Files\Macromedia
2008-01-18 14:24 --------- d-----w C:\Program Files\Fichiers communs\Macromedia
2008-01-18 13:14 --------- d-----w C:\Documents and Settings\user\Application Data\OpenOffice.org2
2008-01-11 20:40 --------- d-----w C:\Program Files\Windows Live
2008-01-11 20:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-01-08 00:42 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-12-29 21:39 --------- d-----w C:\Program Files\BSPlayer
2007-12-20 14:51 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-12-20 14:51 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-12-08 21:40 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-12-08 20:59 --------- d-----w C:\Program Files\OpenAL
2007-12-05 20:18 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-11-28 21:47 --------- d-----w C:\Program Files\ReflexiveArcade
2007-11-26 22:18 --------- d-----w C:\Program Files\Google
2007-11-24 22:12 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2007-11-24 22:12 --------- d-----w C:\Program Files\directx
2007-11-24 19:35 --------- d-----w C:\Program Files\Project64 1.6
2007-11-24 01:14 223,128 ---ha-w C:\WINDOWS\system32\drivers\dtscsi.sys
2007-11-24 01:14 --------- d-----w C:\Program Files\DAEMON Tools
2007-11-24 01:04 642,560 ---ha-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-24 00:45 --------- d-----w C:\Program Files\PowerQuest
2007-11-24 00:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield
2007-11-23 17:45 --------- d-----w C:\Documents and Settings\user\Application Data\dvdcss
2007-11-23 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles
2007-11-23 16:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\NVIDIA
2007-11-23 14:33 --------- d-----w C:\Program Files\THQ
2007-11-23 13:08 --------- d-----w C:\Documents and Settings\user\Application Data\DivX
2007-11-23 12:29 --------- d-----w C:\Program Files\SLD Codec Pack
2007-11-09 09:07 14,656 ----a-w C:\WINDOWS\gdrv.sys
2007-11-09 09:06 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-10-20 00:56 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-10-20 00:56 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-10-20 00:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-10-20 00:54 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-19_12.22.42.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-19 01:21:37 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-01-19 14:25:24 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-01-19 01:21:37 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-01-19 14:25:24 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-01-19 01:21:37 7,811,072 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\ntuser.dat
+ 2008-01-19 14:25:24 7,811,072 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\ntuser.dat
- 2008-01-19 01:21:37 217,088 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
+ 2008-01-19 14:25:24 217,088 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-01-10 13:29 2577840]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 07:35 7634944]
"nwiz"="nwiz.exe" [2006-10-31 07:35 1622016 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 12:41 196608]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-01 01:09 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-16 11:37 185896]
"WOOTASKBARICON"="C:\Program Files\Wanadoo\taskbaricon.exe" [2004-10-05 17:00 61440]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-19 03:48 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^user^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=C:\Documents and Settings\user\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 2008-01-10 13:29 2577840 C:\Program Files\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2004-04-13 06:07 69632 C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-31 07:35 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-01 01:09 155648 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-06-14 18:32 132760 C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 14:50 122880 C:\PROGRA~1\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 16:55 32768 C:\PROGRA~1\Wanadoo\GestMaj.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 14:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=3 (0x3)
"WZCSVC"=2 (0x2)
"WudfSvc"=3 (0x3)
"wuauserv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"WmiApSrv"=3 (0x3)
"WmdmPmSN"=3 (0x3)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"W32Time"=2 (0x2)
"VSS"=3 (0x3)
"VigService"=2 (0x2)
"usnjsvc"=3 (0x3)
"UPS"=3 (0x3)
"upnphost"=3 (0x3)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=3 (0x3)
"srservice"=2 (0x2)
"Spooler"=2 (0x2)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"sfmgr"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=3 (0x3)
"SamSs"=2 (0x2)
"RSVP"=3 (0x3)
"RDSessMgr"=3 (0x3)
"RasMan"=3 (0x3)
"RasAuto"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"PlugPlay"=2 (0x2)
"O&O Defrag"=2 (0x2)
"NVSvc"=2 (0x2)
"NtmsSvc"=3 (0x3)
"NtLmSsp"=3 (0x3)
"Nla"=3 (0x3)
"Netman"=3 (0x3)
"Netlogon"=3 (0x3)
"MSIServer"=3 (0x3)
"MSDTC"=3 (0x3)
"mnmsrvc"=3 (0x3)
"mi-raysat_3dsmax8"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=2 (0x2)
"ImapiService"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"HTTPFilter"=3 (0x3)
"HidServ"=2 (0x2)
"helpsvc"=2 (0x2)
"FTRTSVC"=2 (0x2)
"FontCache3.0.0.0"=3 (0x3)
"FastUserSwitchingCompatibility"=3 (0x3)
"EventSystem"=3 (0x3)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"Dnscache"=2 (0x2)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=3 (0x3)
"combofix"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"CiSvc"=3 (0x3)
"Browser"=2 (0x2)
"BITS"=3 (0x3)
"Autodesk Licensing Service"=2 (0x2)
"AudioSrv"=2 (0x2)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"aawservice"=2 (0x2)
"6to4"=2 (0x2)

R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 16:40]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-09 10:07]
S4 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-05-24 13:28]
S4 sfmgr;CaReTaKeR-CT NetMgr 1.2.1;C:\sfmgr\sfmgr.exe [2004-02-11 10:51]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e8367e8-8ea7-11dc-9802-806d6172696f}]
\Shell\AutoRun\command - D:\Run.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 15:28:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-19 15:28:43
ComboFix-quarantined-files.txt 2008-01-19 14:28:40
ComboFix2.txt 2008-01-19 11:22:54
.
2008-01-11 02:04:35 --- E O F ---
0
Réponse 18 / 20
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

OK, merci.

A)- CIT. « j ai relancer combofix qui a marcher nikel (petite info en passant a chaque redemarrage de la becane windows me dis k il dois etre reactiver sous 3 jour consequence de bagle??) »

Je n'avais pas lu correctement (difficile à lire pour moi).
Je ne sais pas; je n'ai jamais entendu dire cela .
Mais si ta licence WINDOWS est arrivée à terme; ce message est un avertissement.
Sinon, vois en désactivant les mises à jour automatiques (via "Panneau de Cofiguration")

Pour le "Gestionnaire de tâches", il faut ouvrir une discussion (= topic) sur le forum "WINDOWS" où tu devrais être aidé.

B)- Le dernier rapport ANTIVIR est sain. ==> Vide sa QUARANTINE.

C)- Mais je lis ce que je redoutais depuis le début; à savoir:

[[C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\3ds Max 7 - Brazil_RS_1.2.53 + crack.rar
[0] Archive type: RAR
--> setup.exe
[DETECTION] Contains detection pattern of the worm WORM/P2P.Kapucen.Gen
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation Rubbertools v1.51F For 3Dsmax v6 X-Paradox By Efish.rar
[0] Archive type: RAR
--> pdxdr5.001
[1] Archive type: RAR
--> Crack\keyProducer.exe
[DETECTION] Contains suspicious code HEUR/Crypted
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation.F-edge.for.max6.rar
[0] Archive type: RAR
--> f-edge for max6\f-edge.v1.02r4.for.3dsmax5.x6 keygen.exe
[DETECTION] Is the Trojan horse TR/Packed.2466
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation_Rubbertools_v1.51f_for_3DSMAX_v6.x-PARADOX.by.efish.rar
[0] Archive type: RAR
--> pdxdr5.001
[1] Archive type: RAR
--> Crack\keyProducer.exe
[DETECTION] Contains suspicious code HEUR/Crypted
[WARNING] The file was ignored!
C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.exe
[0] Archive type: ZIP SFX (self extracting)
--> CDSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/NETSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/UNADMIN.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> PROG32/HLPRSVC.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47f8edf0.qua'!
C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.zip
[0] Archive type: ZIP
--> vig32fr.exe
[1] Archive type: ZIP SFX (self extracting)
--> CDSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/NETSETUP.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> ADMIN/UNADMIN.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
--> PROG32/HLPRSVC.EXE
[DETECTION] Contains suspicious code HEUR/Crypted
[INFO] The file was moved to '47f8edf5.qua'! ]]

Lis ceci:

1°- Je suis ennuyé parce qu'alors que je demande de l'aide à des Masters, je me fais sermonner comme ceci :
« Ton "client" est donc un âne qui télécharge sur Emule tout et surtout n'importe quoi et il a infecté son ordinateur via un crack.
Tu es censé lui expliquer que les cracks c'est interdit, vecteur de malwares etc.. par exemple en lui donnant ce lien : http://forum.malekal.com/ftopic893.php
Clairement, tu perds ton temps puisque je pense que ton "client" est un ado.. qui fait ce que tout ado fait sur internet... MSN, Emule & Cracks.. donc une fois que tu as terminé la désinfection... il va encore télécharger n'importe quoi et se réinfecter.. »

2°- ces deux topics très clairs:
- le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&...ght=cracks#4492
http://forum.malekal.com/ftopic893.php
- le second de Tesgaz concerne le P2P en général => https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Al.
0
Réponse 19 / 20
ooaps
 
je suis d accord avec toi concernat les crack mais le souci c est que ces fichier m on etait donne par mon prof de 3d durant ma formation
et entre nous je suis loin d etre un ado 30 ans passer mon adolescence me manque parfois
je suis desole que tu te sois fait sermoner je ne suis pas du qenre a telecharger tout et n importe quoi et si un soft me plait je recupere sa license!!!rare mais ca existe
et sinon est ce que je peux supprime hijack et boootfix du pc et le fichier quarantine c est bien celui qui se trouve ds QooBox
si je vire le vers de mon rendu brazil3dsmax celui ci fonctionnera t il tjrs?
et merci encore de ta patience
encore une derniere question je garde antivir en antivirus mais hormi le firewall de windows tu me conseille quoi
durant tout c est souci j ai essaye d installe panda installation ecouer mais il n apparait pas dans la suppression de programme si je le vire de prgfile et du registre cela suffit il??

encore desole pour toi mais surtout un grand merci pour ta patience et ta disponibilite et merci pour les lien de zebulon malekal et autre bonne source d info
0
Réponse 20 / 20
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

A)- Bon, fais ceci pour supprimer les outils utilisés; ça supprimera également leur quarantaine, backup et QooBox .

•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".

La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.

B)- ==> garde antivir en antivirus

C)- ==> Panda, ne l'utilise qu'en scan online ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
•- Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
•- Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > )

Pour ta question « mais il n apparait pas dans la suppression de programme si je le vire de prgfile et du registre cela suffit il?? » ==> oui, cela suffit. Tu peux aussi utiliser la dernière version gratuite de JV16 PowerTools:
< http://telechargement.zebulon.fr/201-jv16-powertools.html > Tutorial ici: < http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm >

D)- ==> Le pare-feu de Windows ne contrôle pas les fichiers SORTANTS (il ne "contrôle" que les entrées!)
Je conseille,
- soit:

Pour ledit pare-feu de Windows, clique sur [Démarrer], puis sur "Panneau de configuration" et là, ouvre le "Centre de sécurité" (icône du bouclier) comme ceci : clic-droit puis "Ouvrir" dans le petit menu contextuel affiché.
Assure-toi tout d'abord que le pare-feu est activé (le bouton est vert dans ce cas!), comme ceci < https://www.hiboox.com > .
Clique sur le menu pare-feu et sélectionne l'onglet "Exceptions".
Si la case "Partage de fichiers et d'imprimantes" est cochée , décoche-la, comme ceci < https://www.hiboox.com >.
Tu remarqueras que j'ai entouré la phrase qui démontre que le pare-feu de Windows XP ne contrôle que les connexions entrantes et encore !.
Et si tu as un trojan c'est surtout les connexions sortantes qu'il faut contrôler...
Le parefeu Windows configuré de cette manière évite la surinfection.

- soit:
Télécharge ce pare-feu KERIO:
( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) ,
ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >

•- Ensuite lancer l'installation de ce pare-feu, comme ceci :
- Impérativement couper la connexion de ton modem (débranche-le),
- Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
- Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
-
-- Ensuite installer ce pare-feu une fois téléchargé ,
-- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
-- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) < https://www.vulgarisation-informatique.com/pare-feu-xp.php >
-
--- Enfin si tout s'est bien déroulé, rétablir ta connexion à Internet.

•- Mais n'hésite pas à profiter des dernières versions si possible (Eventuellement mettre à jour Kério).

•- Visite ceci: < http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > ; c'est ton intérêt .
Et clic là où renvoient les flèches < http://img249.imageshack.us/img249/1538/screenshot254tq8.gif > Sur ce site, tu seras aidé spécifiquement à Kerio.

Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
- http://www.chez.com/leppa/scripts/kpfV4.html
- https://www.vulgarisation-informatique.com/kerio.php
Et pour bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >

E)- Je t'ajoute mon anti-spyware que je laisse en protection en temps réel.
Spyware Terminator 2.1.0.285 Beta < http://www.freewarefiles.com/program_9_206_18312.html >
Un tutoriel ici : < https://forum.pcastuces.com/sujet.asp?f=25&s=21928 >

Bonne chance, et merci pour ta participation active.
Al.
0

Discussions similaires

Comment désactiver le mode sécurisé de la Freebox POP.
Cycy -
bazfile -

18 réponses
Retirer le mode sécurisé sur l'écran de la TV connectée Free
beatrice -
baladur13 -

1 réponse
Comment supprimer le surlignage sur Word ?
luxbanne -
Maud -

11 réponses
libellé page1 excel
imazi -
Raymond PENTIER -

7 réponses