Hldrrr impossible a enlever

ooaps -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
cela fait quelque heure que je me galere a virer hdlrrr et wintem de mon pc mais impossible avast perdu spybot pareil la il n i a que viguard qui me l intercepte mais bosser comme ca pas possible une solution plz deja essayer avec killbox un redemarrage et rien n i fait voila le log de hijack
merci a celui qui pourra m aider a vire squatter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:14, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ViGUARD\VigSvc.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\System32\FTRTSVC.exe
F:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\sfmgr\sfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Wanadoo\taskbaricon.exe
C:\Program Files\ViGUARD\ViGUARD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wpabaln.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [ViGUARD] "C:\Program Files\ViGUARD\ViGUARD.EXE" /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6695649-235D-4461-82FD-02DDBA63FD3B}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - F:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\sfmgr\sfmgr.exe
O23 - Service: ViGUARD Service (VigService) - SOFTED - C:\Program Files\ViGUARD\VigSvc.EXE

--
End of file - 8341 bytes
Configuration: Windows XP
Internet Explorer 7.0

20 réponses

  1. reyvax50 Messages postés 360 Statut Membre 23
     
    Bonsoir,

    Quand je galere comme dans ton cas, je passe le pc un coup sur des scan en ligne:

    inoculer.com

    +++
    0
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour ooaps

    • Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp >
    • Clique sur le bouton Descargar Elibagla cela va télécharger le fichier, place le sur le bureau.
    • Lance-le, de préférence en mode sans échec si tu en as la possibilité (si tu y a accès), en mode normal dans le cas contraire.
    • Double-clique dessus pour l'ouvrir.
    • Assure-toi que dans le menu déroulant Unidad, tu aies bien C:\
    • Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
    • Clique sur le bouton Explorar pour lancer l'analyse.
    Poste le rapport ELIBAGLA stp.
    Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\

    Al.
    0
  3. ooaps
     
    voila le rapport elibagla de plus il m est impossible de virer le dossier killbox crer lors de ma precedente manip
    un truc de malade quoi!!!
    et entre nous je n ai pas une reelle confiance sur les scan en ligne mais bon si je dois m y coller
    et comment ca ce fais que avast ne me l ai pas virer quand il l a detecter de plus impossible d installer regcleaner
    de fou un truc de fou!!!!!!

    Sat Jan 19 01:44:19 2008
    EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
    0
  4. reyvax50 Messages postés 360 Statut Membre 23
     
    Re

    Le probleme d'avast c'est qu'il laisse le "virus" s'installer et il le detecte ensuite
    Jte conseilerai bien antivir sur le coup
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ooaps
     
    bon a savoir
    je suis aller sur innoculer et recuperer l outil de desinfection pour bagle je vais bien voir
    0
  7. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Tu ne risques rien avec les outils que je te fais utiliser.

    Tu as hérité d'une des dernières saloperies difficiles à neutraliser.
    Même la dernière version d'Elibagla (spécialisé pour cette infection) n'y est pas parvenue.

    A) Commence par ceci:

    Il faut donc faire analyser ce fichier "sfmgr.exe"chez VirusTotal comme ceci :

    1°- Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
    Soit en faisant « Démarrer »/ PanneauConfiguration/OptionsDossiers /onglet « Affichage »
    et là :
    cocher la case devant les lignes:
    - afficher les fichiers et dossier cachés
    - afficher contenu dossier système
    décocher la case devant les lignes:
    - masquer les extensions des fichiers dont le type est connu
    - masquer les fichiers protégés du système d'exploitation
    Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
    Puis cliquer "APPLIQUER à TOUS les Dossiers" > [OK]
    Note: Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

    2°- Vas là </souligne>:< https://www.virustotal.com/gui/ >
    •- sur la page qui s'affiche tu cliques sur "parcourir"
    •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier sfmgr.exe
    c'est-à-dire via "Poste de travail" C:\sfmgr\ ==> en passant, dis-moi ce que contient le dossier sfmgr
    •- quand tu as trouvé le premier fichier sfmgr.exe, tu fais "ouvrir" ( sur cette dernière page affichée)
    •- le fichier sfmgr.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
    •- là, tu cliques sur "send file" ( de la page de Virustotal )
    •- et tu attends le résultat (il faut parfois patienter)
    •- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

    3°- Merci pour ta collaboration

    B)- Télécharge gmer à partir de : http://www2.gmer.net/gmer.zip
    Déconnecte-toi d'internet si possible et ferme tous les programmes.
    Décompresse le fichier zip et double-clic sur gmer.exe
    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse-le s'executer.
    Clic sur l'onglet "rootkit"
    Clic sur Scan
    Ce scan terminé, arrête le scan en cliquant sur Stop (pas la peine de le faire aller jusqu'au bout).
    Poste le rapport SVP.
    Merci

    C)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
    < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
    - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
    Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
    Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.

    Tu copies et colles ce rapport sur le forum

    D)- Je ne connais pas ce "Viguard" sur lequel tu écris: « il n i a que viguard qui me l intercepte »
    - Nous ne proposons plus "Avast" sur lequel tu écris pertinemment: « comment ca ce fais que avast ne me l ai pas virer quand il l a detecter » ==> et pour cause, il ne signale l'infection que dès lors que ton PC est infecté!

    Alors, voici ce que je te propose:

    1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows >
    et qui prend en compte la case Rootkit.
    - En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »).

    TUTORIELS :
    < https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement.
    - ou < http://www.malekal.com/tutorial_antivir.html >
    - ou < http://www.libellules.ch/tuto_antivir.php >

    2)- Désinstaller AVAST: <
    https://www.avast.com/fr-fr/uninstall-utility >

    - Dans un premier temps, mets hors service ce "Viguard"; nous verrons ensuite s'il faut également le désinstaller.

    3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

    4)- Attention :
    Sers-toi du tutoriel pour installer ANTIVIR,
    Après l'installation du programme et avant de lancer l'analyse, ...
    ...il faut redémarrer le PC en mode sans échec, comme ceci:
    < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

    Lancer Antivir en Scan complet ( analyse avancée )

    L'analyse:
    - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir »
    - Cliquer sur l’onglet « scanner »
    - Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut)
    - Une fenêtre va s’ouvrir « Luke Filewalker »
    - Le scan va démarrer.
    - Mettre tout ce qu il trouve en "quarantine"

    Le rapport:
    Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
    Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).

    E)- J'ai besoin du résultat de Virustotal pour poursuivre.
    Termine bien ce que je demande.

    Il est l'heure pour moi de passer au lit. Désolé.
    Merci
    Al.
    0
  8. reyvax50 Messages postés 360 Statut Membre 23
     
    XD al, encore un fan de Malekal et d'Antivir (Et tu as bien raison :D )
    0
  9. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut reyvax50,

    Je ne suis fan de personne ni de rien du tout; SAUF de ce qui fonctionne, et de ceux qui m'aident et me respectent.
    Je propose aussi ce que je connais; et jamais ce que je ne connais pas; comme ce innoculer.
    J'attends d'en voir l'efficacité.

    Désolé, mais je dois me mettre au lit.
    Je compte sur toi pour laisser OOaps terminer ce que j'ai préconisé.
    Es-tu informé de la dernière infection Bagle pour laquelle Elibagla n'arrête pas de mettre à jour ses signatures ?

    Bonne nuit ;)
    Al.
    0
  10. reyvax50 Messages postés 360 Statut Membre 23
     
    Donc si tu es fan de ce qui marche , tu ne peut qu'etre fan de Malekal :p

    Pour inoculer c'est assez pratique lorsque l'on a pas le ce qui faut "sous la main"

    Je ne suis pas assez informé sur ce Bagle, si je suis ici c'est parceque ce forum me permet d'apprendre!!!

    Bonne nuit a toi aussi,

    ++

    0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour ooaps,

    Je voudrais le rapport complet de EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. exécuté le
    Sat Jan 19 01:44:19 2008 .
    Il se trouve ici : C:\InfoSat.txt, via “Poste de travail” > Disque local C:\
    Merci

    Al

    Salut reyvax50.
    0
  12. ooaps
     
    re

    apres une sale nuit me revoila avec des infos

    1e j ai recuperer les softs que tu m as demander
    j ai lancer gmer et recuperer le log

    2 apres j ai fait combofix accepter tous ce qu il voulait et au niveau du redemarrge ca a merder

    explorer ne s affichai plus un petit tour ds le gestionnaire et toute les processus lancer par moi n etais plus present via msconfig j ai redemarrer en mode diagnostic et la explorer est ok mais le gestionnaire n affiche plus a ki appartient les processus j ai relancer combofix qui a marcher nikel (petite info en passant a chaque redemarrage de la becane windows me dis k il dois etre reactiver sous 3 jour consequence de bagle??)
    toutefois un chkdsk s est lancer au redemarrge et ma supprimer pas mal de merde
    concernant elibagle mon ancien rapport et parti je vien de le relancer et je le post
    Antivir est installe mais je ne l ai pas encore fais tourner
    le dossier sfmgr n est pas dangereux c est mon moteur de rendu brazil pour 3dsmax

    elibagle:

    Sat Jan 19 12:30:16 2008
    EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Sat Jan 19 12:30:20 2008
    EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 10151
    Nº Total de Ficheros: 120109
    Nº de Ficheros Analizados: 12476
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    gmer:

    GMER 1.0.13.12551 - http://www.gmer.net
    Rootkit scan 2008-01-19 03:35:19
    Windows 5.1.2600 Service Pack 2

    ---- System - GMER 1.0.13 ----

    SSDT 8416FB6C ZwAcceptConnectPort
    SSDT 8416FB74 ZwAccessCheck
    SSDT 8416FB7C ZwAccessCheckAndAuditAlarm
    SSDT 8416FB84 ZwAccessCheckByType
    SSDT 8416FB8C ZwAccessCheckByTypeAndAuditAlarm
    SSDT 8416FB94 ZwAccessCheckByTypeResultList
    SSDT 8416FB9C ZwAccessCheckByTypeResultListAndAuditAlarm
    SSDT 8416FBA4 ZwAccessCheckByTypeResultListAndAuditAlarmByHandle
    SSDT 8416FBAC ZwAddAtom
    SSDT 8416FBB4 ZwAddBootEntry
    SSDT 8416FBBC ZwAdjustGroupsToken
    SSDT 8416FBC4 ZwAdjustPrivilegesToken
    SSDT 8416FBCC ZwAlertResumeThread
    SSDT 8416FBD4 ZwAlertThread
    SSDT 8416FBDC ZwAllocateLocallyUniqueId
    SSDT 8416FBE4 ZwAllocateUserPhysicalPages
    SSDT 8416FBEC ZwAllocateUuids
    SSDT 8416FBF4 ZwAllocateVirtualMemory
    SSDT 8416FBFC ZwAreMappedFilesTheSame
    SSDT 8416FC04 ZwAssignProcessToJobObject
    SSDT 8416FC0C ZwCallbackReturn
    SSDT 8416FC14 ZwCancelDeviceWakeupRequest
    SSDT 8416FC1C ZwCancelIoFile
    SSDT 8416FC24 ZwCancelTimer
    SSDT 8416FC2C ZwClearEvent
    SSDT 8416FC34 ZwClose
    SSDT 8416FC3C ZwCloseObjectAuditAlarm
    SSDT 8416FC44 ZwCompactKeys
    SSDT 8416FC4C ZwCompareTokens
    SSDT 8416FC54 ZwCompleteConnectPort
    SSDT 8416FC5C ZwCompressKey
    SSDT 8416FC64 ZwConnectPort
    SSDT 8416FC6C ZwContinue
    SSDT 8416FC74 ZwCreateDebugObject
    SSDT 8416FC7C ZwCreateDirectoryObject
    SSDT 8416FC84 ZwCreateEvent
    SSDT 8416FC8C ZwCreateEventPair
    SSDT 8416FC94 ZwCreateFile
    SSDT 8416FC9C ZwCreateIoCompletion
    SSDT 8416FCA4 ZwCreateJobObject
    SSDT 8416FCAC ZwCreateJobSet
    SSDT 8416FCB4 ZwCreateKey
    SSDT 8416FCBC ZwCreateMailslotFile
    SSDT 8416FCC4 ZwCreateMutant
    SSDT 8416FCCC ZwCreateNamedPipeFile
    SSDT 8416FCD4 ZwCreatePagingFile
    SSDT 8416FCDC ZwCreatePort
    SSDT 8416FCE4 ZwCreateProcess
    SSDT 8416FCEC ZwCreateProcessEx
    SSDT 8416FCF4 ZwCreateProfile
    SSDT 8416FCFC ZwCreateSection
    SSDT 8416FD04 ZwCreateSemaphore
    SSDT 8416FD0C ZwCreateSymbolicLinkObject
    SSDT 8416FD14 ZwCreateThread
    SSDT 8416FD1C ZwCreateTimer
    SSDT 8416FD24 ZwCreateToken
    SSDT 8416FD2C ZwCreateWaitablePort
    SSDT 8416FD34 ZwDebugActiveProcess
    SSDT 8416FD3C ZwDebugContinue
    SSDT 8416FD44 ZwDelayExecution
    SSDT 8416FD4C ZwDeleteAtom
    SSDT 8416FD54 ZwDeleteBootEntry
    SSDT 8416FD5C ZwDeleteFile
    SSDT 8416FD64 ZwDeleteKey
    SSDT 8416FD6C ZwDeleteObjectAuditAlarm
    SSDT 8416FD74 ZwDeleteValueKey
    SSDT 8416FD7C ZwDeviceIoControlFile
    SSDT 8416FD84 ZwDisplayString
    SSDT 8416FD8C ZwDuplicateObject
    SSDT 8416FD94 ZwDuplicateToken
    SSDT 8416FD9C ZwEnumerateBootEntries
    SSDT 8416FDA4 ZwEnumerateKey
    SSDT 8416FDAC ZwEnumerateSystemEnvironmentValuesEx
    SSDT 8416FDB4 ZwEnumerateValueKey
    SSDT 8416FDBC ZwExtendSection
    SSDT 8416FDC4 ZwFilterToken
    SSDT 8416FDCC ZwFindAtom
    SSDT 8416FDD4 ZwFlushBuffersFile
    SSDT 8416FDDC ZwFlushInstructionCache
    SSDT 8416FDE4 ZwFlushKey
    SSDT 8416FDEC ZwFlushVirtualMemory
    SSDT 8416FDF4 ZwFlushWriteBuffer
    SSDT 8416FDFC ZwFreeUserPhysicalPages
    SSDT 8416FE04 ZwFreeVirtualMemory
    SSDT 8416FE0C ZwFsControlFile
    SSDT 8416FE14 ZwGetContextThread
    SSDT 8416FE1C ZwGetDevicePowerState
    SSDT 8416FE24 ZwGetPlugPlayEvent
    SSDT 8416FE2C ZwGetWriteWatch
    SSDT 8416FE34 ZwImpersonateAnonymousToken
    SSDT 8416FE3C ZwImpersonateClientOfPort
    SSDT 8416FE44 ZwImpersonateThread
    SSDT 8416FE4C ZwInitializeRegistry
    SSDT 8416FE54 ZwInitiatePowerAction
    SSDT 8416FE5C ZwIsProcessInJob
    SSDT 8416FE64 ZwIsSystemResumeAutomatic
    SSDT 8416FE6C ZwListenPort
    SSDT 8416FE74 ZwLoadDriver
    SSDT 8416FE7C ZwLoadKey
    SSDT 8416FE84 ZwLoadKey2
    SSDT 8416FE8C ZwLockFile
    SSDT 8416FE94 ZwLockProductActivationKeys
    SSDT 8416FE9C ZwLockRegistryKey
    SSDT 8416FEA4 ZwLockVirtualMemory
    SSDT 8416FEAC ZwMakePermanentObject
    SSDT 8416FEB4 ZwMakeTemporaryObject
    SSDT 8416FEBC ZwMapUserPhysicalPages
    SSDT 8416FEC4 ZwMapUserPhysicalPagesScatter
    SSDT 8416FECC ZwMapViewOfSection
    SSDT 8416FED4 ZwModifyBootEntry
    SSDT 8416FEDC ZwNotifyChangeDirectoryFile
    SSDT 8416FEE4 ZwNotifyChangeKey
    SSDT 8416FEEC ZwNotifyChangeMultipleKeys
    SSDT 8416FEF4 ZwOpenDirectoryObject
    SSDT 8416FEFC ZwOpenEvent
    SSDT 8416FF04 ZwOpenEventPair
    SSDT 8416FF0C ZwOpenFile
    SSDT 8416FF14 ZwOpenIoCompletion
    SSDT 8416FF1C ZwOpenJobObject
    SSDT 8416FF24 ZwOpenKey
    SSDT 8416FF2C ZwOpenMutant
    SSDT 8416FF34 ZwOpenObjectAuditAlarm
    SSDT 8416FF3C ZwOpenProcess
    SSDT 8416FF44 ZwOpenProcessToken
    SSDT 8416FF4C ZwOpenProcessTokenEx
    SSDT 8416FF54 ZwOpenSection
    SSDT 8416FF5C ZwOpenSemaphore
    SSDT 8416FF64 ZwOpenSymbolicLinkObject
    SSDT 8416FF6C ZwOpenThread
    SSDT 8416FF74 ZwOpenThreadToken
    SSDT 8416FF7C ZwOpenThreadTokenEx
    SSDT 8416FF84 ZwOpenTimer
    SSDT 8416FF8C ZwPlugPlayControl
    SSDT 8416FF94 ZwPowerInformation
    SSDT 8416FF9C ZwPrivilegeCheck
    SSDT 8416FFA4 ZwPrivilegeObjectAuditAlarm
    SSDT 8416FFAC ZwPrivilegedServiceAuditAlarm
    SSDT 8416FFB4 ZwProtectVirtualMemory
    SSDT 8416FFBC ZwPulseEvent
    SSDT 8416FFC4 ZwQueryAttributesFile
    SSDT 8416FFCC ZwQueryBootEntryOrder
    SSDT 8416FFD4 ZwQueryBootOptions
    SSDT 8416FFDC ZwQueryDebugFilterState
    SSDT 8416FFE4 ZwQueryDefaultLocale
    SSDT 8416FFEC ZwQueryDefaultUILanguage
    SSDT 8416FFF4 ZwQueryDirectoryFile
    SSDT 8416FFFC ZwQueryDirectoryObject
    SSDT 84170004 ZwQueryEaFile
    SSDT 8417000C ZwQueryEvent
    SSDT 84170014 ZwQueryFullAttributesFile
    SSDT 8417001C ZwQueryInformationAtom
    SSDT 84170024 ZwQueryInformationFile
    SSDT 8417002C ZwQueryInformationJobObject
    SSDT 84170034 ZwQueryInformationPort
    SSDT 8417003C ZwQueryInformationProcess
    SSDT 84170044 ZwQueryInformationThread
    SSDT 8417004C ZwQueryInformationToken
    SSDT 84170054 ZwQueryInstallUILanguage
    SSDT 8417005C ZwQueryIntervalProfile
    SSDT 84170064 ZwQueryIoCompletion
    SSDT 8417006C ZwQueryKey
    SSDT 84170074 ZwQueryMultipleValueKey
    SSDT 8417007C ZwQueryMutant
    SSDT 84170084 ZwQueryObject
    SSDT 8417008C ZwQueryOpenSubKeys
    SSDT 84170094 ZwQueryPerformanceCounter
    SSDT 8417009C ZwQueryQuotaInformationFile
    SSDT 841700A4 ZwQuerySection
    SSDT 841700AC ZwQuerySecurityObject
    SSDT 841700B4 ZwQuerySemaphore
    SSDT 841700BC ZwQuerySymbolicLinkObject
    SSDT 841700C4 ZwQuerySystemEnvironmentValue
    SSDT 841700CC ZwQuerySystemEnvironmentValueEx
    SSDT 841700D4 ZwQuerySystemInformation
    SSDT 841700DC ZwQuerySystemTime
    SSDT 841700E4 ZwQueryTimer
    SSDT 841700EC ZwQueryTimerResolution
    SSDT 841700F4 ZwQueryValueKey
    SSDT 841700FC ZwQueryVirtualMemory
    SSDT 84170104 ZwQueryVolumeInformationFile
    SSDT 8417010C ZwQueueApcThread
    SSDT 84170114 ZwRaiseException
    SSDT 8417011C ZwRaiseHardError
    SSDT 84170124 ZwReadFile
    SSDT 8417012C ZwReadFileScatter
    SSDT 84170134 ZwReadRequestData
    SSDT 8417013C ZwReadVirtualMemory
    SSDT 84170144 ZwRegisterThreadTerminatePort
    SSDT 8417014C ZwReleaseMutant
    SSDT 84170154 ZwReleaseSemaphore
    SSDT 8417015C ZwRemoveIoCompletion
    SSDT 84170164 ZwRemoveProcessDebug
    SSDT 8417016C ZwRenameKey
    SSDT 84170174 ZwReplaceKey
    SSDT 8417017C ZwReplyPort
    SSDT 84170184 ZwReplyWaitReceivePort
    SSDT 8417018C ZwReplyWaitReceivePortEx
    SSDT 84170194 ZwReplyWaitReplyPort
    SSDT 8417019C ZwRequestDeviceWakeup
    SSDT 841701A4 ZwRequestPort
    SSDT 841701AC ZwRequestWaitReplyPort
    SSDT 841701B4 ZwRequestWakeupLatency
    SSDT 841701BC ZwResetEvent
    SSDT 841701C4 ZwResetWriteWatch
    SSDT 841701CC ZwRestoreKey
    SSDT 841701D4 ZwResumeProcess
    SSDT 841701DC ZwResumeThread
    SSDT 841701E4 ZwSaveKey
    SSDT 841701EC ZwSaveKeyEx
    SSDT 841701F4 ZwSaveMergedKeys
    SSDT 841701FC ZwSecureConnectPort
    SSDT 84170204 ZwSetBootEntryOrder
    SSDT 8417020C ZwSetBootOptions
    SSDT 84170214 ZwSetContextThread
    SSDT 8417021C ZwSetDebugFilterState
    SSDT 84170224 ZwSetDefaultHardErrorPort
    SSDT 8417022C ZwSetDefaultLocale
    SSDT 84170234 ZwSetDefaultUILanguage
    SSDT 8417023C ZwSetEaFile
    SSDT 84170244 ZwSetEvent
    SSDT 8417024C ZwSetEventBoostPriority
    SSDT 84170254 ZwSetHighEventPair
    SSDT 8417025C ZwSetHighWaitLowEventPair
    SSDT 84170264 ZwSetInformationDebugObject
    SSDT 8417026C ZwSetInformationFile
    SSDT 84170274 ZwSetInformationJobObject
    SSDT 8417027C ZwSetInformationKey
    SSDT 84170284 ZwSetInformationObject
    SSDT 8417028C ZwSetInformationProcess
    SSDT 84170294 ZwSetInformationThread
    SSDT 8417029C ZwSetInformationToken
    SSDT 841702A4 ZwSetIntervalProfile
    SSDT 841702AC ZwSetIoCompletion
    SSDT 841702B4 ZwSetLdtEntries
    SSDT 841702BC ZwSetLowEventPair
    SSDT 841702C4 ZwSetLowWaitHighEventPair
    SSDT 841702CC ZwSetQuotaInformationFile
    SSDT 841702D4 ZwSetSecurityObject
    SSDT 841702DC ZwSetSystemEnvironmentValue
    SSDT 841702E4 ZwSetSystemEnvironmentValueEx
    SSDT 841702EC ZwSetSystemInformation
    SSDT 841702F4 ZwSetSystemPowerState
    SSDT 841702FC ZwSetSystemTime
    SSDT 84170304 ZwSetThreadExecutionState
    SSDT 8417030C ZwSetTimer
    SSDT 84170314 ZwSetTimerResolution
    SSDT 8417031C ZwSetUuidSeed
    SSDT 84170324 ZwSetValueKey
    SSDT 8417032C ZwSetVolumeInformationFile
    SSDT 84170334 ZwShutdownSystem
    SSDT 8417033C ZwSignalAndWaitForSingleObject
    SSDT 84170344 ZwStartProfile
    SSDT 8417034C ZwStopProfile
    SSDT 84170354 ZwSuspendProcess
    SSDT 8417035C ZwSuspendThread
    SSDT 84170364 ZwSystemDebugControl
    SSDT 8417036C ZwTerminateJobObject
    SSDT 84170374 ZwTerminateProcess
    SSDT 8417037C ZwTerminateThread
    SSDT 84170384 ZwTestAlert
    SSDT 8417038C ZwTraceEvent
    SSDT 84170394 ZwTranslateFilePath
    SSDT 8417039C ZwUnloadDriver
    SSDT 841703A4 ZwUnloadKey
    SSDT 841703AC ZwUnloadKeyEx
    SSDT 841703B4 ZwUnlockFile
    SSDT 841703BC ZwUnlockVirtualMemory
    SSDT 841703C4 ZwUnmapViewOfSection
    SSDT 841703CC ZwVdmControl
    SSDT 841703D4 ZwWaitForDebugEvent
    SSDT 841703DC ZwWaitForMultipleObjects
    SSDT 841703E4 ZwWaitForSingleObject
    SSDT 841703EC ZwWaitHighEventPair
    SSDT 841703F4 ZwWaitLowEventPair
    SSDT 841703FC ZwWriteFile
    SSDT 84170404 ZwWriteFileGather
    SSDT 8417040C ZwWriteRequestData
    SSDT 84170414 ZwWriteVirtualMemory
    SSDT 8417041C ZwYieldExecution
    SSDT 84170424 ZwCreateKeyedEvent
    SSDT 8417042C ZwOpenKeyedEvent
    SSDT 84170434 ZwReleaseKeyedEvent
    SSDT 8417043C ZwWaitForKeyedEvent
    SSDT 84170444 ZwQueryPortInformationProcess

    INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys F75BA16D
    INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys F75B9FC2

    Code 8583C268 ZwCreateSection
    Code 85825E10 ZwDeleteKey
    Code 85826E60 ZwDeleteValueKey
    Code 85827668 ZwMapViewOfSection
    Code 85828758 ZwOpenProcess
    Code 857D2D2B KeAddSystemServiceTable
    Code 8583C267 NtCreateSection
    Code 85827667 NtMapViewOfSection
    Code 85828757 NtOpenProcess

    ---- Kernel code sections - GMER 1.0.13 ----

    .text ntkrnlpa.exe!ZwCallbackReturn + 2B8C 80503940 728 Bytes [ 6C, FB, 16, 84, 74, FB, 16, ... ]
    .text ntkrnlpa.exe!ZwCallbackReturn + 2E65 80503C19 291 Bytes [ 01, 17, 84, 24, 01, 17, 84, ... ]
    .text ntkrnlpa.exe!ZwCallbackReturn + 2F89 80503D3D 115 Bytes [ 03, 17, 84, 6C, 03, 17, 84, ... ]
    PAGE ntkrnlpa.exe!KeAddSystemServiceTable 805A008A 5 Bytes JMP 857D2D30
    PAGE ntkrnlpa.exe!NtCreateSection 805A9E9E 5 Bytes JMP 8583C26C
    PAGE ntkrnlpa.exe!NtMapViewOfSection 805B0A7E 5 Bytes JMP 8582766C
    PAGE ntkrnlpa.exe!NtOpenProcess 805C9CFE 5 Bytes JMP 8582875C
    PAGE ntkrnlpa.exe!ZwDeleteKey 80622594 5 Bytes JMP 85825E14
    PAGE ntkrnlpa.exe!ZwDeleteValueKey 80622764 5 Bytes JMP 85826E64
    ? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
    ? C:\WINDOWS\System32\Drivers\SPTD8205.SYS Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
    ? C:\WINDOWS\System32\Drivers\dtscsi.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

    ---- User code sections - GMER 1.0.13 ----

    .text C:\Program Files\ViGUARD\ViGUARD.EXE[1804] kernel32.dll!CreateThread + 1A 7C810651 4 Bytes [ 1B, D0, 9C, 87 ]

    ---- Kernel IAT/EAT - GMER 1.0.13 ----

    IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F72B7A32] sptd.sys
    IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F72B7B6E] sptd.sys
    IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F72B7AF6] sptd.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F72B86CC] sptd.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72B85A2] sptd.sys
    IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F72D9C82] sptd.sys

    ---- Devices - GMER 1.0.13 ----

    Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F78027D0] ShlDrv51.sys
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F7802C70] ShlDrv51.sys
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8583C4D0
    Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8583C4D0

    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F7207060] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F72070B0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F7207290] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F7206FA0] VirBlock.sys
    AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F7206FA0] VirBlock.sys

    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSE 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_READ 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP 84593BE8
    Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP 84593BE8

    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F7207060] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_NAMED_PIPE [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F72070B0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_READ [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_WRITE [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_EA [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_EA [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FLUSH_BUFFERS [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DIRECTORY_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_FILE_SYSTEM_CONTROL [F7207290] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_LOCK_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_SECURITY [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_SECURITY [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_POWER [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SYSTEM_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CHANGE [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_QUERY_QUOTA [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Ip IRP_MJ_SET_QUOTA [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F7207060] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_NAMED_PIPE [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F72070B0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_READ [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_WRITE [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_EA [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_EA [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FLUSH_BUFFERS [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_VOLUME_INFORMATION [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DIRECTORY_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_FILE_SYSTEM_CONTROL [F7207290] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_LOCK_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_QUERY_SECURITY [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SET_SECURITY [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_POWER [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_SYSTEM_CONTROL [F7206FA0] VirBlock.sys
    AttachedDevice \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CHANGE [F7206FA0]
    0
  13. ooaps
     
    suite des logs:

    combo fix:

    ComboFix 08-01-18.5 - user 2008-01-19 12:09:34.2 - NTFSx86

    Running from: C:\Documents and Settings\user\Bureau\combofix.exe

    [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\mdelk.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_SROSA

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-19 to 2008-01-19 ))))))))))))))))))))))))))))))))))))
    .

    2008-01-19 12:17 . 2008-01-19 12:17 <REP> d--hs---- C:\found.000
    2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Program Files\Avira
    2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-01-19 03:33 . 2008-01-19 03:33 250 --a------ C:\WINDOWS\gmer.ini
    2008-01-19 02:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2008-01-19 01:57 . 2008-01-19 02:03 <REP> d-------- C:\WINDOWS\avxoscan
    2008-01-19 01:13 . 2008-01-19 01:13 <REP> d-------- C:\Program Files\Uniblue
    2008-01-19 00:38 . 2008-01-19 00:38 <REP> d-------- C:\Program Files\Trend Micro
    2008-01-19 00:03 . 2008-01-19 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2008-01-18 23:24 . 2008-01-19 03:39 <REP> d-------- C:\Program Files\ViGUARD
    2008-01-18 23:24 . 2008-01-19 02:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ViGUARD
    2008-01-18 20:59 . 2008-01-18 21:21 <REP> d-------- C:\Program Files\Yahoo!
    2008-01-18 20:57 . 2008-01-18 20:57 <REP> d-------- C:\Program Files\Panda Software
    2008-01-18 20:50 . 2008-01-18 20:50 <REP> d-------- C:\Program Files\Fichiers communs\Panda Software
    2008-01-18 20:50 . 2007-05-24 13:28 178,872 --a------ C:\WINDOWS\system32\drivers\PavProc.sys
    2008-01-18 20:50 . 2007-05-23 16:40 38,968 --a------ C:\WINDOWS\system32\drivers\ShlDrv51.sys
    2008-01-18 20:17 . 2008-01-18 20:17 <REP> d-------- C:\Soundtrack - 2006 Weeds Volume 2 (TV) (128) Various Artists - OST BSO BOF - Mr. Yusseply
    2008-01-18 20:01 . 2001-08-23 17:16 596,319 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys
    2008-01-18 20:00 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys
    2008-01-18 20:00 . 2001-08-17 20:19 174,464 --a--c--- C:\WINDOWS\system32\dllcache\es198x.sys
    2008-01-18 20:00 . 2001-08-17 21:50 114,944 --a--c--- C:\WINDOWS\system32\dllcache\epstw2k.sys
    2008-01-18 20:00 . 2001-08-17 20:19 72,192 --a--c--- C:\WINDOWS\system32\dllcache\es1969.sys
    2008-01-18 20:00 . 2001-08-23 17:47 62,464 --a--c--- C:\WINDOWS\system32\dllcache\eqnloop.exe
    2008-01-18 20:00 . 2001-08-23 17:47 53,760 --a--c--- C:\WINDOWS\system32\dllcache\eqndiag.exe
    2008-01-18 20:00 . 2001-08-23 17:47 51,712 --a--c--- C:\WINDOWS\system32\dllcache\eqnlogr.exe
    2008-01-18 20:00 . 2001-08-17 20:19 40,704 --a--c--- C:\WINDOWS\system32\dllcache\es1371mp.sys
    2008-01-18 20:00 . 2001-08-17 20:19 37,120 --a--c--- C:\WINDOWS\system32\dllcache\es1370mp.sys
    2008-01-18 19:59 . 2001-08-17 20:19 283,904 --a--c--- C:\WINDOWS\system32\dllcache\emu10k1m.sys
    2008-01-18 19:59 . 2001-08-23 17:13 175,104 --a--c--- C:\WINDOWS\system32\dllcache\el99xn51.sys
    2008-01-18 19:59 . 2001-08-17 21:50 144,896 --a--c--- C:\WINDOWS\system32\dllcache\epcfw2k.sys
    2008-01-18 19:59 . 2001-08-17 20:10 25,159 --a--c--- C:\WINDOWS\system32\dllcache\elnk3.sys
    2008-01-18 19:59 . 2001-08-17 20:10 19,996 --a--c--- C:\WINDOWS\system32\dllcache\em556n4.sys
    2008-01-18 19:59 . 2001-08-17 20:12 18,503 --a--c--- C:\WINDOWS\system32\dllcache\epro4.sys
    2008-01-18 19:59 . 2001-08-17 21:53 7,296 --a--c--- C:\WINDOWS\system32\dllcache\elmsmc.sys
    2008-01-18 19:58 . 2001-08-23 17:13 634,166 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
    2008-01-18 19:58 . 2001-08-23 17:13 455,711 --a--c--- C:\WINDOWS\system32\dllcache\el985n51.sys
    2008-01-18 19:58 . 2001-08-23 17:13 241,238 --a--c--- C:\WINDOWS\system32\dllcache\el656se5.sys
    2008-01-18 19:58 . 2001-08-23 17:13 153,631 --a--c--- C:\WINDOWS\system32\dllcache\el90xnd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 77,386 --a--c--- C:\WINDOWS\system32\dllcache\el656nd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 70,174 --a--c--- C:\WINDOWS\system32\dllcache\el98xn5.sys
    2008-01-18 19:58 . 2001-08-17 20:10 69,692 --a--c--- C:\WINDOWS\system32\dllcache\el575nd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 69,194 --a--c--- C:\WINDOWS\system32\dllcache\el656cd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 66,591 --a--c--- C:\WINDOWS\system32\dllcache\el90xbc5.sys
    2008-01-18 19:58 . 2001-08-17 20:10 26,141 --a--c--- C:\WINDOWS\system32\dllcache\el589nd5.sys
    2008-01-18 19:57 . 2001-08-17 20:20 334,208 --a--c--- C:\WINDOWS\system32\dllcache\ds1wdm.sys
    2008-01-18 19:57 . 2001-08-23 17:12 117,760 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys
    2008-01-18 19:57 . 2001-08-17 20:10 55,999 --a--c--- C:\WINDOWS\system32\dllcache\el556nd5.sys
    2008-01-18 19:57 . 2001-08-23 17:12 51,743 --a--c--- C:\WINDOWS\system32\dllcache\e1000nt5.sys
    2008-01-18 19:57 . 2001-08-23 17:13 44,615 --a--c--- C:\WINDOWS\system32\dllcache\el515.sys
    2008-01-18 19:57 . 2001-08-17 20:10 24,653 --a--c--- C:\WINDOWS\system32\dllcache\el574nd4.sys
    2008-01-18 19:57 . 2004-08-19 16:10 20,992 --a--c--- C:\WINDOWS\system32\dllcache\dshowext.ax
    2008-01-18 19:57 . 2001-08-17 22:07 20,192 --a--c--- C:\WINDOWS\system32\dllcache\dpti2o.sys
    2008-01-18 19:57 . 2001-08-17 20:12 19,594 --a--c--- C:\WINDOWS\system32\dllcache\e100isa4.sys
    2008-01-18 19:55 . 2001-08-23 17:47 622,621 --a--c--- C:\WINDOWS\system32\dllcache\digiview.exe
    2008-01-18 19:55 . 2001-08-23 17:47 236,060 --a--c--- C:\WINDOWS\system32\dllcache\ditrace.exe
    2008-01-18 19:55 . 2001-08-23 17:47 110,621 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.dll
    2008-01-18 19:55 . 2001-08-17 20:13 91,305 --a--c--- C:\WINDOWS\system32\dllcache\dimaint.sys
    2008-01-18 19:55 . 2001-08-23 17:10 42,656 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.sys
    2008-01-18 19:55 . 2001-08-23 17:47 41,046 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.dll
    2008-01-18 19:55 . 2001-08-23 17:47 38,985 --a--c--- C:\WINDOWS\system32\dllcache\disrvsu.dll
    2008-01-18 19:55 . 2001-08-23 17:47 31,817 --a--c--- C:\WINDOWS\system32\dllcache\disrvpp.dll
    2008-01-18 19:55 . 2001-08-17 20:14 21,606 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.sys
    2008-01-18 19:55 . 2001-08-23 17:47 6,729 --a--c--- C:\WINDOWS\system32\dllcache\disrvci.dll
    2008-01-18 19:54 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll
    2008-01-18 19:54 . 2001-08-23 17:47 229,462 --a--c--- C:\WINDOWS\system32\dllcache\digifwrk.dll
    2008-01-18 19:54 . 2001-08-23 17:47 159,828 --a--c--- C:\WINDOWS\system32\dllcache\digihlc.dll
    2008-01-18 19:54 . 2001-08-23 17:47 135,252 --a--c--- C:\WINDOWS\system32\dllcache\digidbp.dll
    2008-01-18 19:54 . 2001-08-23 17:10 103,492 --a--c--- C:\WINDOWS\system32\dllcache\digidxb.sys
    2008-01-18 19:54 . 2001-08-23 17:47 102,484 --a--c--- C:\WINDOWS\system32\dllcache\digiinf.dll
    2008-01-18 19:54 . 2001-08-23 17:10 90,685 --a--c--- C:\WINDOWS\system32\dllcache\digifep5.sys
    2008-01-18 19:54 . 2001-08-23 17:47 65,622 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.dll
    2008-01-18 19:54 . 2001-08-23 17:10 37,927 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.sys
    2008-01-18 19:54 . 2001-08-23 17:09 29,691 --a--c--- C:\WINDOWS\system32\dllcache\dgapci.sys
    2008-01-18 19:53 . 2001-08-23 17:47 256,512 --a--c--- C:\WINDOWS\system32\dllcache\devcon32.dll
    2008-01-18 19:53 . 2001-08-23 17:47 112,128 --a--c--- C:\WINDOWS\system32\dllcache\dc260usd.dll
    2008-01-18 19:53 . 2001-08-23 17:47 87,552 --a--c--- C:\WINDOWS\system32\dllcache\dc240usd.dll
    2008-01-18 19:53 . 2001-08-17 20:12 63,208 --a--c--- C:\WINDOWS\system32\dllcache\dc21x4.sys
    2008-01-18 19:53 . 2001-08-17 20:11 24,649 --a--c--- C:\WINDOWS\system32\dllcache\dfe650d.sys
    2008-01-18 19:53 . 2001-08-17 20:11 24,648 --a--c--- C:\WINDOWS\system32\dllcache\dfe650.sys
    2008-01-18 19:53 . 2001-08-23 17:47 24,064 --a--c--- C:\WINDOWS\system32\dllcache\devldr32.exe
    2008-01-18 19:53 . 2001-08-17 20:11 20,928 --a--c--- C:\WINDOWS\system32\dllcache\defpa.sys
    2008-01-18 19:53 . 2001-08-17 21:52 7,424 --a--c--- C:\WINDOWS\system32\dllcache\ddsmc.sys
    2008-01-18 19:52 . 2001-08-17 21:52 179,584 --a--c--- C:\WINDOWS\system32\dllcache\dac2w2k.sys
    2008-01-18 19:52 . 2001-08-23 17:08 117,760 --a--c--- C:\WINDOWS\system32\dllcache\d100ib5.sys
    2008-01-18 19:52 . 2001-08-23 17:47 82,432 --a--c--- C:\WINDOWS\system32\dllcache\dc210usd.dll
    2008-01-18 19:52 . 2001-08-23 17:08 50,688 --a--c--- C:\WINDOWS\system32\dllcache\cyzport.sys
    2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzports.dll
    2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzcoins.dll
    2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyyports.dll
    2008-01-18 19:52 . 2001-08-23 17:47 25,600 --a--c--- C:\WINDOWS\system32\dllcache\dc210_32.dll
    2008-01-18 19:52 . 2001-08-17 21:52 14,720 --a--c--- C:\WINDOWS\system32\dllcache\dac960nt.sys
    2008-01-18 19:50 . 2004-08-19 16:09 252,416 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
    2008-01-18 19:50 . 2001-08-23 17:47 216,576 --a--c--- C:\WINDOWS\system32\dllcache\cpscan.dll
    2008-01-18 19:50 . 2001-08-23 17:47 175,104 --a--c--- C:\WINDOWS\system32\dllcache\csamsp.dll
    2008-01-18 19:50 . 2001-08-17 20:19 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ctlsb16.sys
    2008-01-18 19:50 . 2001-08-23 17:07 61,194 --a--c--- C:\WINDOWS\system32\dllcache\cpqtrnd5.sys
    2008-01-18 19:50 . 2001-08-17 20:19 42,112 --a--c--- C:\WINDOWS\system32\dllcache\crtaud.sys
    2008-01-18 19:50 . 2001-08-23 17:07 21,533 --a--c--- C:\WINDOWS\system32\dllcache\cpqndis5.sys
    2008-01-18 19:50 . 2001-08-17 21:52 14,976 --a--c--- C:\WINDOWS\system32\dllcache\cpqarray.sys
    2008-01-18 19:50 . 2001-08-17 20:19 6,912 --a--c--- C:\WINDOWS\system32\dllcache\ctlfacem.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-19 02:00 96,256 ---ha-w C:\WINDOWS\system32\drivers\sptd8205.sys
    2008-01-18 19:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-18 14:24 --------- d-----w C:\Program Files\Macromedia
    2008-01-18 14:24 --------- d-----w C:\Program Files\Fichiers communs\Macromedia
    2008-01-18 13:14 --------- d-----w C:\Documents and Settings\user\Application Data\OpenOffice.org2
    2008-01-11 20:40 --------- d-----w C:\Program Files\Windows Live
    2008-01-11 20:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-01-08 00:42 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2007-12-29 21:39 --------- d-----w C:\Program Files\BSPlayer
    2007-12-08 21:40 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-12-08 20:59 --------- d-----w C:\Program Files\OpenAL
    2007-11-28 21:47 --------- d-----w C:\Program Files\ReflexiveArcade
    2007-11-26 22:18 --------- d-----w C:\Program Files\Google
    2007-11-24 22:12 --------- d-----w C:\Program Files\directx
    2007-11-24 19:35 --------- d-----w C:\Program Files\Project64 1.6
    2007-11-24 01:14 223,128 ---ha-w C:\WINDOWS\system32\drivers\dtscsi.sys
    2007-11-24 01:14 --------- d-----w C:\Program Files\DAEMON Tools
    2007-11-24 01:04 642,560 ---ha-w C:\WINDOWS\system32\drivers\sptd.sys
    2007-11-24 00:45 --------- d-----w C:\Program Files\PowerQuest
    2007-11-24 00:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield
    2007-11-23 17:45 --------- d-----w C:\Documents and Settings\user\Application Data\dvdcss
    2007-11-23 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles
    2007-11-23 16:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\NVIDIA
    2007-11-23 14:33 --------- d-----w C:\Program Files\THQ
    2007-11-23 13:08 --------- d-----w C:\Documents and Settings\user\Application Data\DivX
    2007-11-23 12:29 --------- d-----w C:\Program Files\SLD Codec Pack
    2007-11-09 09:07 14,656 ----a-w C:\WINDOWS\gdrv.sys
    2007-11-09 09:06 315,392 ----a-w C:\WINDOWS\HideWin.exe
    2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
    "IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-01-10 13:29 2577840]
    "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
    "german.exe"="C:\WINDOWS\system32\wintems.exe" [ ]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 07:35 7634944]
    "nwiz"="nwiz.exe" [2006-10-31 07:35 1622016 C:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe]
    "ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 12:41 196608]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-01 01:09 155648]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-16 11:37 185896]
    "WOOTASKBARICON"="C:\Program Files\Wanadoo\taskbaricon.exe" [2004-10-05 17:00 61440]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-19 03:48 249896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
    avldr.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
    @="Driver"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
    backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^user^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
    path=C:\Documents and Settings\user\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
    backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
    --a------ 2008-01-10 13:29 2577840 C:\Program Files\Internet Download Manager\IDMan.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
    --a------ 2004-04-13 06:07 69632 C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    --a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    --a------ 2006-10-31 07:35 86016 C:\WINDOWS\system32\NvMcTray.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-01-01 01:09 155648 C:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    -r------- 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2007-06-14 18:32 132760 C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
    --a------ 2004-08-23 14:50 122880 C:\PROGRA~1\Wanadoo\Shell.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
    --------- 2004-10-14 16:55 32768 C:\PROGRA~1\Wanadoo\GestMaj.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
    --------- 2004-08-23 14:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "xmlprov"=3 (0x3)
    "WZCSVC"=2 (0x2)
    "WudfSvc"=3 (0x3)
    "wuauserv"=2 (0x2)
    "WMPNetworkSvc"=3 (0x3)
    "WmiApSrv"=3 (0x3)
    "WmdmPmSN"=3 (0x3)
    "winmgmt"=2 (0x2)
    "WebClient"=2 (0x2)
    "W32Time"=2 (0x2)
    "VSS"=3 (0x3)
    "VigService"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "UPS"=3 (0x3)
    "upnphost"=3 (0x3)
    "TrkWks"=2 (0x2)
    "Themes"=2 (0x2)
    "TermService"=3 (0x3)
    "TapiSrv"=3 (0x3)
    "SysmonLog"=3 (0x3)
    "SwPrv"=3 (0x3)
    "stisvc"=2 (0x2)
    "SSDPSRV"=3 (0x3)
    "srservice"=2 (0x2)
    "Spooler"=2 (0x2)
    "ShellHWDetection"=2 (0x2)
    "SharedAccess"=2 (0x2)
    "sfmgr"=2 (0x2)
    "SENS"=2 (0x2)
    "seclogon"=2 (0x2)
    "Schedule"=2 (0x2)
    "SCardSvr"=3 (0x3)
    "SamSs"=2 (0x2)
    "RSVP"=3 (0x3)
    "RDSessMgr"=3 (0x3)
    "RasMan"=3 (0x3)
    "RasAuto"=3 (0x3)
    "ProtectedStorage"=2 (0x2)
    "PolicyAgent"=2 (0x2)
    "Pml Driver HPZ12"=2 (0x2)
    "PlugPlay"=2 (0x2)
    "O&O Defrag"=2 (0x2)
    "NVSvc"=2 (0x2)
    "NtmsSvc"=3 (0x3)
    "NtLmSsp"=3 (0x3)
    "Nla"=3 (0x3)
    "Netman"=3 (0x3)
    "Netlogon"=3 (0x3)
    "MSIServer"=3 (0x3)
    "MSDTC"=3 (0x3)
    "mnmsrvc"=3 (0x3)
    "mi-raysat_3dsmax8"=2 (0x2)
    "LmHosts"=2 (0x2)
    "lanmanworkstation"=2 (0x2)
    "lanmanserver"=2 (0x2)
    "ImapiService"=3 (0x3)
    "idsvc"=3 (0x3)
    "IDriverT"=3 (0x3)
    "HTTPFilter"=3 (0x3)
    "HidServ"=2 (0x2)
    "helpsvc"=2 (0x2)
    "FTRTSVC"=2 (0x2)
    "FontCache3.0.0.0"=3 (0x3)
    "FastUserSwitchingCompatibility"=3 (0x3)
    "EventSystem"=3 (0x3)
    "Eventlog"=2 (0x2)
    "ERSvc"=2 (0x2)
    "Dnscache"=2 (0x2)
    "dmserver"=3 (0x3)
    "dmadmin"=3 (0x3)
    "Dhcp"=2 (0x2)
    "CryptSvc"=2 (0x2)
    "COMSysApp"=3 (0x3)
    "combofix"=3 (0x3)
    "clr_optimization_v2.0.50727_32"=3 (0x3)
    "CiSvc"=3 (0x3)
    "Browser"=2 (0x2)
    "BITS"=3 (0x3)
    "Autodesk Licensing Service"=2 (0x2)
    "AudioSrv"=2 (0x2)
    "aspnet_state"=3 (0x3)
    "AppMgmt"=3 (0x3)
    "ALG"=3 (0x3)
    "Adobe LM Service"=3 (0x3)
    "aawservice"=2 (0x2)
    "6to4"=2 (0x2)

    R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 16:40]
    S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-09 10:07]
    S4 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-05-24 13:28]
    S4 sfmgr;CaReTaKeR-CT NetMgr 1.2.1;C:\sfmgr\sfmgr.exe [2004-02-11 10:51]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e8367e8-8ea7-11dc-9802-806d6172696f}]
    \Shell\AutoRun\command - D:\Run.exe

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-01-19 12:19:58
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2008-01-19 12:22:54 - machine was rebooted [user]
    ComboFix-quarantined-files.txt 2008-01-19 11:22:52
    .
    2008-01-11 02:04:35 --- E O F ---

    comme tu peux le voir elibagle ne me trouve plus rien toutefois je n ai pas lancer de scan complet
    merci
    0
  14. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    A)- CIT. « le dossier sfmgr n est pas dangereux c est mon moteur de rendu brazil pour 3dsmax »
    S4 sfmgr;CaReTaKeR-CT NetMgr 1.2.1;C:\sfmgr\sfmgr.exe [2004-02-11 10:51]
    Il me semble qu’il soit arrêté ou désactivé pour le moment.

    B)- Traitement

    1°- Désactive ta restauration système
    Clic sur « Démarrer »
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu y coches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]

    2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

    File::
    C:\WINDOWS\system32\wintems.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "german.exe"=-


    4°- Copie le texte sélectionné (CTRL+C).
    Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V).
    Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
    ( En english ==> Save this as ComboFix-Do.txt and change the "Save as type" to "All Files" and place it on your desktop (= bureau). Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png > )

    5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    Patiente le temps du scan.
    Le bureau va disparaître à plusieurs reprises: c'est normal!

    (CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

    6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
    Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

    7°- Arrêter puis redémarrer le PC

    8°- Ensuite réactive ta restauration système
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu décoches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]

    9°- Poste un nouveau rapport ComboFix.txt comme ceci :
    - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
    Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
    Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
    Tu copies et colles ce rapport sur le forum

    C)- J'attends le log d'ANTIVIR.

    Bonne journée
    Al.
    0
  15. reyvax50 Messages postés 360 Statut Membre 23
     
    Salut Al!
    Salut All xD!
    0
  16. ooaps
     
    re voila apres 2 heure de scan le rapport antivir je t ai mis tout les un a la suite des autres

    AntiVir PersonalEdition Classic
    Report file date: samedi 19 janvier 2008 13:04

    Scanning for 1056958 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: user
    Computer name: OOAPS

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
    ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 02:48:59
    ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 02:48:59
    ANTIVIR3.VDF : 7.0.2.20 225792 Bytes 18/01/2008 02:48:59
    AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 19/01/2008 02:48:59
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
    AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/01/2008 02:48:59
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: on
    Scan boot sector.................: on
    Boot sectors.....................: F:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: on
    Scan all files...................: All files
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: samedi 19 janvier 2008 13:04

    Starting search for hidden objects.
    The driver could not be initialized.

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'userinit.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    11 processes with 11 modules were scanned

    Starting master boot sector scan:
    Master boot sector HD0
    [NOTE] No virus was found!
    Master boot sector HD1
    [NOTE] No virus was found!

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'F:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '28' files ).

    Starting the file scan:

    Begin scan in 'C:\' <OO@pS-1>
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\3ds Max 7 - Brazil_RS_1.2.53 + crack.rar
    [0] Archive type: RAR
    --> setup.exe
    [DETECTION] Contains detection pattern of the worm WORM/P2P.Kapucen.Gen
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation Rubbertools v1.51F For 3Dsmax v6 X-Paradox By Efish.rar
    [0] Archive type: RAR
    --> pdxdr5.001
    [1] Archive type: RAR
    --> Crack\keyProducer.exe
    [DETECTION] Contains suspicious code HEUR/Crypted
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation.F-edge.for.max6.rar
    [0] Archive type: RAR
    --> f-edge for max6\f-edge.v1.02r4.for.3dsmax5.x6 keygen.exe
    [DETECTION] Is the Trojan horse TR/Packed.2466
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation_Rubbertools_v1.51f_for_3DSMAX_v6.x-PARADOX.by.efish.rar
    [0] Archive type: RAR
    --> pdxdr5.001
    [1] Archive type: RAR
    --> Crack\keyProducer.exe
    [DETECTION] Contains suspicious code HEUR/Crypted
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.exe
    [0] Archive type: ZIP SFX (self extracting)
    --> CDSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/NETSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/UNADMIN.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> PROG32/HLPRSVC.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    [INFO] The file was moved to '47f8edf0.qua'!
    C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.zip
    [0] Archive type: ZIP
    --> vig32fr.exe
    [1] Archive type: ZIP SFX (self extracting)
    --> CDSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/NETSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/UNADMIN.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> PROG32/HLPRSVC.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    [INFO] The file was moved to '47f8edf5.qua'!
    C:\WINDOWS\system32\drivers\dtscsi.sys
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\drivers\sptd8205.sys
    [WARNING] The file could not be opened!
    Begin scan in 'F:\' <OO@pS-2>
    F:\pagefile.sys
    [WARNING] The file could not be opened!

    End of the scan: samedi 19 janvier 2008 14:55
    Used time: 1:51:03 min

    The scan has been done completely.

    13865 Scanning directories
    798408 Files were scanned
    2 viruses and/or unwanted programs were found
    10 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    2 files were moved to quarantine
    0 files were renamed
    5 Files cannot be scanned
    798406 Files not concerned
    5643 Archives were scanned
    9 Warnings
    339 Notes

    AntiVir PersonalEdition Classic
    Report file date: samedi 19 janvier 2008 13:03

    Scanning for 1056958 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: user
    Computer name: OOAPS

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
    ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 02:48:59
    ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 02:48:59
    ANTIVIR3.VDF : 7.0.2.20 225792 Bytes 18/01/2008 02:48:59
    AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 19/01/2008 02:48:59
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
    AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/01/2008 02:48:59
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: on
    Scan boot sector.................: on
    Boot sectors.....................: F:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: on
    Scan all files...................: All files
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: samedi 19 janvier 2008 13:03

    Starting search for hidden objects.
    The driver could not be initialized.

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'userinit.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    11 processes with 11 modules were scanned

    Starting master boot sector scan:
    Master boot sector HD0
    [NOTE] No virus was found!
    Master boot sector HD1
    [NOTE] No virus was found!

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'F:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '28' files ).

    Starting the file scan:

    Begin scan in 'C:\' <OO@pS-1>
    C:\pagefile.sys
    [WARNING] The file could not be opened!

    End of the scan: samedi 19 janvier 2008 13:04
    Used time: 01:14 min

    The scan has been canceled!

    752 Scanning directories
    9197 Files were scanned
    0 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    1 Files cannot be scanned
    9197 Files not concerned
    82 Archives were scanned
    1 Warnings
    0 Notes

    AntiVir PersonalEdition Classic
    Report file date: 2008-01-19 12:02

    Scanning for 1056958 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Username: SYSTEM
    Computer name: OOAPS

    Version information:
    BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15
    ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 02:48:59
    ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 2008-01-15 02:48:59
    ANTIVIR3.VDF : 7.0.2.20 225792 Bytes 2008-01-18 02:48:59
    AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 2008-01-19 02:48:59
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24
    AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-01-19 02:48:59
    AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: on
    Scan boot sector.................: on
    Boot sectors.....................: F:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: on
    Scan all files...................: All files
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: 2008-01-19 12:02

    Starting search for hidden objects.

    End of the scan: 2008-01-19 12:09
    Used time: 06:43 min

    The scan has been canceled!

    0 Scanning directories
    0 Files were scanned
    0 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    0 Files cannot be scanned
    0 Files not concerned
    0 Archives were scanned
    0 Warnings
    0 Notes
    2077 Objects were scanned with rootkit scan
    0 Hidden objects were found
    0
  17. ooaps
     
    et concernat ma demande de reactivation??
    et pourquoi le gestionnaire n afiche plus les utilisateur des process

    encore merci de votre disponibilite
    0
  18. ooaps
     
    voici le log de combo fix:

    ComboFix 08-01-18.5 - user 2008-01-19 15:25:29.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.610 [GMT 1:00]
    Running from: C:\Documents and Settings\user\Bureau\combofix.exe
    Command switches used :: C:\Documents and Settings\user\Bureau\CFScript.txt
    * Created a new restore point

    [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]

    FILE
    C:\WINDOWS\system32\wintems.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-12-19 to 2008-01-19 ))))))))))))))))))))))))))))))))))))
    .

    2008-01-19 12:17 . 2008-01-19 12:17 <REP> d--hs---- C:\found.000
    2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Program Files\Avira
    2008-01-19 03:48 . 2008-01-19 03:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-01-19 03:33 . 2008-01-19 03:33 250 --a------ C:\WINDOWS\gmer.ini
    2008-01-19 02:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2008-01-19 01:57 . 2008-01-19 02:03 <REP> d-------- C:\WINDOWS\avxoscan
    2008-01-19 01:13 . 2008-01-19 01:13 <REP> d-------- C:\Program Files\Uniblue
    2008-01-19 00:38 . 2008-01-19 00:38 <REP> d-------- C:\Program Files\Trend Micro
    2008-01-19 00:03 . 2008-01-19 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
    2008-01-18 23:24 . 2008-01-19 03:39 <REP> d-------- C:\Program Files\ViGUARD
    2008-01-18 23:24 . 2008-01-19 02:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ViGUARD
    2008-01-18 20:59 . 2008-01-18 21:21 <REP> d-------- C:\Program Files\Yahoo!
    2008-01-18 20:57 . 2008-01-18 20:57 <REP> d-------- C:\Program Files\Panda Software
    2008-01-18 20:50 . 2008-01-18 20:50 <REP> d-------- C:\Program Files\Fichiers communs\Panda Software
    2008-01-18 20:50 . 2007-05-24 13:28 178,872 --a------ C:\WINDOWS\system32\drivers\PavProc.sys
    2008-01-18 20:50 . 2007-05-23 16:40 38,968 --a------ C:\WINDOWS\system32\drivers\ShlDrv51.sys
    2008-01-18 20:17 . 2008-01-18 20:17 <REP> d-------- C:\Soundtrack - 2006 Weeds Volume 2 (TV) (128) Various Artists - OST BSO BOF - Mr. Yusseply
    2008-01-18 20:01 . 2001-08-23 17:16 596,319 --a--c--- C:\WINDOWS\system32\dllcache\es56cvmp.sys
    2008-01-18 20:00 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys
    2008-01-18 20:00 . 2001-08-17 20:19 174,464 --a--c--- C:\WINDOWS\system32\dllcache\es198x.sys
    2008-01-18 20:00 . 2001-08-17 21:50 114,944 --a--c--- C:\WINDOWS\system32\dllcache\epstw2k.sys
    2008-01-18 20:00 . 2001-08-17 20:19 72,192 --a--c--- C:\WINDOWS\system32\dllcache\es1969.sys
    2008-01-18 20:00 . 2001-08-23 17:47 62,464 --a--c--- C:\WINDOWS\system32\dllcache\eqnloop.exe
    2008-01-18 20:00 . 2001-08-23 17:47 53,760 --a--c--- C:\WINDOWS\system32\dllcache\eqndiag.exe
    2008-01-18 20:00 . 2001-08-23 17:47 51,712 --a--c--- C:\WINDOWS\system32\dllcache\eqnlogr.exe
    2008-01-18 20:00 . 2001-08-17 20:19 40,704 --a--c--- C:\WINDOWS\system32\dllcache\es1371mp.sys
    2008-01-18 20:00 . 2001-08-17 20:19 37,120 --a--c--- C:\WINDOWS\system32\dllcache\es1370mp.sys
    2008-01-18 19:59 . 2001-08-17 20:19 283,904 --a--c--- C:\WINDOWS\system32\dllcache\emu10k1m.sys
    2008-01-18 19:59 . 2001-08-23 17:13 175,104 --a--c--- C:\WINDOWS\system32\dllcache\el99xn51.sys
    2008-01-18 19:59 . 2001-08-17 21:50 144,896 --a--c--- C:\WINDOWS\system32\dllcache\epcfw2k.sys
    2008-01-18 19:59 . 2001-08-17 20:10 25,159 --a--c--- C:\WINDOWS\system32\dllcache\elnk3.sys
    2008-01-18 19:59 . 2001-08-17 20:10 19,996 --a--c--- C:\WINDOWS\system32\dllcache\em556n4.sys
    2008-01-18 19:59 . 2001-08-17 20:12 18,503 --a--c--- C:\WINDOWS\system32\dllcache\epro4.sys
    2008-01-18 19:59 . 2001-08-17 21:53 7,296 --a--c--- C:\WINDOWS\system32\dllcache\elmsmc.sys
    2008-01-18 19:58 . 2001-08-23 17:13 634,166 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
    2008-01-18 19:58 . 2001-08-23 17:13 455,711 --a--c--- C:\WINDOWS\system32\dllcache\el985n51.sys
    2008-01-18 19:58 . 2001-08-23 17:13 241,238 --a--c--- C:\WINDOWS\system32\dllcache\el656se5.sys
    2008-01-18 19:58 . 2001-08-23 17:13 153,631 --a--c--- C:\WINDOWS\system32\dllcache\el90xnd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 77,386 --a--c--- C:\WINDOWS\system32\dllcache\el656nd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 70,174 --a--c--- C:\WINDOWS\system32\dllcache\el98xn5.sys
    2008-01-18 19:58 . 2001-08-17 20:10 69,692 --a--c--- C:\WINDOWS\system32\dllcache\el575nd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 69,194 --a--c--- C:\WINDOWS\system32\dllcache\el656cd5.sys
    2008-01-18 19:58 . 2001-08-17 20:11 66,591 --a--c--- C:\WINDOWS\system32\dllcache\el90xbc5.sys
    2008-01-18 19:58 . 2001-08-17 20:10 26,141 --a--c--- C:\WINDOWS\system32\dllcache\el589nd5.sys
    2008-01-18 19:57 . 2001-08-17 20:20 334,208 --a--c--- C:\WINDOWS\system32\dllcache\ds1wdm.sys
    2008-01-18 19:57 . 2001-08-23 17:12 117,760 --a--c--- C:\WINDOWS\system32\dllcache\e100b325.sys
    2008-01-18 19:57 . 2001-08-17 20:10 55,999 --a--c--- C:\WINDOWS\system32\dllcache\el556nd5.sys
    2008-01-18 19:57 . 2001-08-23 17:12 51,743 --a--c--- C:\WINDOWS\system32\dllcache\e1000nt5.sys
    2008-01-18 19:57 . 2001-08-23 17:13 44,615 --a--c--- C:\WINDOWS\system32\dllcache\el515.sys
    2008-01-18 19:57 . 2001-08-17 20:10 24,653 --a--c--- C:\WINDOWS\system32\dllcache\el574nd4.sys
    2008-01-18 19:57 . 2004-08-19 16:10 20,992 --a--c--- C:\WINDOWS\system32\dllcache\dshowext.ax
    2008-01-18 19:57 . 2001-08-17 22:07 20,192 --a--c--- C:\WINDOWS\system32\dllcache\dpti2o.sys
    2008-01-18 19:57 . 2001-08-17 20:12 19,594 --a--c--- C:\WINDOWS\system32\dllcache\e100isa4.sys
    2008-01-18 19:55 . 2001-08-23 17:47 622,621 --a--c--- C:\WINDOWS\system32\dllcache\digiview.exe
    2008-01-18 19:55 . 2001-08-23 17:47 236,060 --a--c--- C:\WINDOWS\system32\dllcache\ditrace.exe
    2008-01-18 19:55 . 2001-08-23 17:47 110,621 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.dll
    2008-01-18 19:55 . 2001-08-17 20:13 91,305 --a--c--- C:\WINDOWS\system32\dllcache\dimaint.sys
    2008-01-18 19:55 . 2001-08-23 17:10 42,656 --a--c--- C:\WINDOWS\system32\dllcache\digirlpt.sys
    2008-01-18 19:55 . 2001-08-23 17:47 41,046 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.dll
    2008-01-18 19:55 . 2001-08-23 17:47 38,985 --a--c--- C:\WINDOWS\system32\dllcache\disrvsu.dll
    2008-01-18 19:55 . 2001-08-23 17:47 31,817 --a--c--- C:\WINDOWS\system32\dllcache\disrvpp.dll
    2008-01-18 19:55 . 2001-08-17 20:14 21,606 --a--c--- C:\WINDOWS\system32\dllcache\digiisdn.sys
    2008-01-18 19:55 . 2001-08-23 17:47 6,729 --a--c--- C:\WINDOWS\system32\dllcache\disrvci.dll
    2008-01-18 19:54 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll
    2008-01-18 19:54 . 2001-08-23 17:47 229,462 --a--c--- C:\WINDOWS\system32\dllcache\digifwrk.dll
    2008-01-18 19:54 . 2001-08-23 17:47 159,828 --a--c--- C:\WINDOWS\system32\dllcache\digihlc.dll
    2008-01-18 19:54 . 2001-08-23 17:47 135,252 --a--c--- C:\WINDOWS\system32\dllcache\digidbp.dll
    2008-01-18 19:54 . 2001-08-23 17:10 103,492 --a--c--- C:\WINDOWS\system32\dllcache\digidxb.sys
    2008-01-18 19:54 . 2001-08-23 17:47 102,484 --a--c--- C:\WINDOWS\system32\dllcache\digiinf.dll
    2008-01-18 19:54 . 2001-08-23 17:10 90,685 --a--c--- C:\WINDOWS\system32\dllcache\digifep5.sys
    2008-01-18 19:54 . 2001-08-23 17:47 65,622 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.dll
    2008-01-18 19:54 . 2001-08-23 17:10 37,927 --a--c--- C:\WINDOWS\system32\dllcache\digiasyn.sys
    2008-01-18 19:54 . 2001-08-23 17:09 29,691 --a--c--- C:\WINDOWS\system32\dllcache\dgapci.sys
    2008-01-18 19:53 . 2001-08-23 17:47 256,512 --a--c--- C:\WINDOWS\system32\dllcache\devcon32.dll
    2008-01-18 19:53 . 2001-08-23 17:47 112,128 --a--c--- C:\WINDOWS\system32\dllcache\dc260usd.dll
    2008-01-18 19:53 . 2001-08-23 17:47 87,552 --a--c--- C:\WINDOWS\system32\dllcache\dc240usd.dll
    2008-01-18 19:53 . 2001-08-17 20:12 63,208 --a--c--- C:\WINDOWS\system32\dllcache\dc21x4.sys
    2008-01-18 19:53 . 2001-08-17 20:11 24,649 --a--c--- C:\WINDOWS\system32\dllcache\dfe650d.sys
    2008-01-18 19:53 . 2001-08-17 20:11 24,648 --a--c--- C:\WINDOWS\system32\dllcache\dfe650.sys
    2008-01-18 19:53 . 2001-08-23 17:47 24,064 --a--c--- C:\WINDOWS\system32\dllcache\devldr32.exe
    2008-01-18 19:53 . 2001-08-17 20:11 20,928 --a--c--- C:\WINDOWS\system32\dllcache\defpa.sys
    2008-01-18 19:53 . 2001-08-17 21:52 7,424 --a--c--- C:\WINDOWS\system32\dllcache\ddsmc.sys
    2008-01-18 19:52 . 2001-08-17 21:52 179,584 --a--c--- C:\WINDOWS\system32\dllcache\dac2w2k.sys
    2008-01-18 19:52 . 2001-08-23 17:08 117,760 --a--c--- C:\WINDOWS\system32\dllcache\d100ib5.sys
    2008-01-18 19:52 . 2001-08-23 17:47 82,432 --a--c--- C:\WINDOWS\system32\dllcache\dc210usd.dll
    2008-01-18 19:52 . 2001-08-23 17:08 50,688 --a--c--- C:\WINDOWS\system32\dllcache\cyzport.sys
    2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzports.dll
    2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyzcoins.dll
    2008-01-18 19:52 . 2001-08-23 17:47 28,160 --a--c--- C:\WINDOWS\system32\dllcache\cyyports.dll
    2008-01-18 19:52 . 2001-08-23 17:47 25,600 --a--c--- C:\WINDOWS\system32\dllcache\dc210_32.dll
    2008-01-18 19:52 . 2001-08-17 21:52 14,720 --a--c--- C:\WINDOWS\system32\dllcache\dac960nt.sys
    2008-01-18 19:50 . 2004-08-19 16:09 252,416 --a--c--- C:\WINDOWS\system32\dllcache\ctmasetp.dll
    2008-01-18 19:50 . 2001-08-23 17:47 216,576 --a--c--- C:\WINDOWS\system32\dllcache\cpscan.dll
    2008-01-18 19:50 . 2001-08-23 17:47 175,104 --a--c--- C:\WINDOWS\system32\dllcache\csamsp.dll
    2008-01-18 19:50 . 2001-08-17 20:19 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ctlsb16.sys
    2008-01-18 19:50 . 2001-08-23 17:07 61,194 --a--c--- C:\WINDOWS\system32\dllcache\cpqtrnd5.sys
    2008-01-18 19:50 . 2001-08-17 20:19 42,112 --a--c--- C:\WINDOWS\system32\dllcache\crtaud.sys
    2008-01-18 19:50 . 2001-08-23 17:07 21,533 --a--c--- C:\WINDOWS\system32\dllcache\cpqndis5.sys
    2008-01-18 19:50 . 2001-08-17 21:52 14,976 --a--c--- C:\WINDOWS\system32\dllcache\cpqarray.sys
    2008-01-18 19:50 . 2001-08-17 20:19 6,912 --a--c--- C:\WINDOWS\system32\dllcache\ctlfacem.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-19 02:00 96,256 ---ha-w C:\WINDOWS\system32\drivers\sptd8205.sys
    2008-01-18 19:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-18 14:24 --------- d-----w C:\Program Files\Macromedia
    2008-01-18 14:24 --------- d-----w C:\Program Files\Fichiers communs\Macromedia
    2008-01-18 13:14 --------- d-----w C:\Documents and Settings\user\Application Data\OpenOffice.org2
    2008-01-11 20:40 --------- d-----w C:\Program Files\Windows Live
    2008-01-11 20:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-01-08 00:42 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2007-12-29 21:39 --------- d-----w C:\Program Files\BSPlayer
    2007-12-20 14:51 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
    2007-12-20 14:51 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
    2007-12-08 21:40 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-12-08 20:59 --------- d-----w C:\Program Files\OpenAL
    2007-12-05 20:18 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
    2007-11-28 21:47 --------- d-----w C:\Program Files\ReflexiveArcade
    2007-11-26 22:18 --------- d-----w C:\Program Files\Google
    2007-11-24 22:12 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
    2007-11-24 22:12 --------- d-----w C:\Program Files\directx
    2007-11-24 19:35 --------- d-----w C:\Program Files\Project64 1.6
    2007-11-24 01:14 223,128 ---ha-w C:\WINDOWS\system32\drivers\dtscsi.sys
    2007-11-24 01:14 --------- d-----w C:\Program Files\DAEMON Tools
    2007-11-24 01:04 642,560 ---ha-w C:\WINDOWS\system32\drivers\sptd.sys
    2007-11-24 00:45 --------- d-----w C:\Program Files\PowerQuest
    2007-11-24 00:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield
    2007-11-23 17:45 --------- d-----w C:\Documents and Settings\user\Application Data\dvdcss
    2007-11-23 16:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles
    2007-11-23 16:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\NVIDIA
    2007-11-23 14:33 --------- d-----w C:\Program Files\THQ
    2007-11-23 13:08 --------- d-----w C:\Documents and Settings\user\Application Data\DivX
    2007-11-23 12:29 --------- d-----w C:\Program Files\SLD Codec Pack
    2007-11-09 09:07 14,656 ----a-w C:\WINDOWS\gdrv.sys
    2007-11-09 09:06 315,392 ----a-w C:\WINDOWS\HideWin.exe
    2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
    2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
    2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
    2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
    2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
    2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
    2007-10-20 00:56 129,784 ------w C:\WINDOWS\system32\pxafs.dll
    2007-10-20 00:56 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
    2007-10-20 00:56 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
    2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
    2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
    2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
    2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
    2007-10-20 00:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
    2007-10-20 00:54 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
    2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-01-19_12.22.42.98 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-01-19 01:21:37 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
    + 2008-01-19 14:25:24 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
    - 2008-01-19 01:21:37 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
    + 2008-01-19 14:25:24 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
    - 2008-01-19 01:21:37 7,811,072 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\ntuser.dat
    + 2008-01-19 14:25:24 7,811,072 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\ntuser.dat
    - 2008-01-19 01:21:37 217,088 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
    + 2008-01-19 14:25:24 217,088 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
    "IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-01-10 13:29 2577840]
    "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 07:35 7634944]
    "nwiz"="nwiz.exe" [2006-10-31 07:35 1622016 C:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe]
    "ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 12:41 196608]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-01 01:09 155648]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-16 11:37 185896]
    "WOOTASKBARICON"="C:\Program Files\Wanadoo\taskbaricon.exe" [2004-10-05 17:00 61440]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-19 03:48 249896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
    avldr.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
    @="Driver"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
    backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^user^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
    path=C:\Documents and Settings\user\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
    backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
    --a------ 2008-01-10 13:29 2577840 C:\Program Files\Internet Download Manager\IDMan.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
    --a------ 2004-04-13 06:07 69632 C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    --a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    --a------ 2006-10-31 07:35 86016 C:\WINDOWS\system32\NvMcTray.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-01-01 01:09 155648 C:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    -r------- 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2007-06-14 18:32 132760 C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
    --a------ 2004-08-23 14:50 122880 C:\PROGRA~1\Wanadoo\Shell.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
    --------- 2004-10-14 16:55 32768 C:\PROGRA~1\Wanadoo\GestMaj.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
    --------- 2004-08-23 14:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "xmlprov"=3 (0x3)
    "WZCSVC"=2 (0x2)
    "WudfSvc"=3 (0x3)
    "wuauserv"=2 (0x2)
    "WMPNetworkSvc"=3 (0x3)
    "WmiApSrv"=3 (0x3)
    "WmdmPmSN"=3 (0x3)
    "winmgmt"=2 (0x2)
    "WebClient"=2 (0x2)
    "W32Time"=2 (0x2)
    "VSS"=3 (0x3)
    "VigService"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "UPS"=3 (0x3)
    "upnphost"=3 (0x3)
    "TrkWks"=2 (0x2)
    "Themes"=2 (0x2)
    "TermService"=3 (0x3)
    "TapiSrv"=3 (0x3)
    "SysmonLog"=3 (0x3)
    "SwPrv"=3 (0x3)
    "stisvc"=2 (0x2)
    "SSDPSRV"=3 (0x3)
    "srservice"=2 (0x2)
    "Spooler"=2 (0x2)
    "ShellHWDetection"=2 (0x2)
    "SharedAccess"=2 (0x2)
    "sfmgr"=2 (0x2)
    "SENS"=2 (0x2)
    "seclogon"=2 (0x2)
    "Schedule"=2 (0x2)
    "SCardSvr"=3 (0x3)
    "SamSs"=2 (0x2)
    "RSVP"=3 (0x3)
    "RDSessMgr"=3 (0x3)
    "RasMan"=3 (0x3)
    "RasAuto"=3 (0x3)
    "ProtectedStorage"=2 (0x2)
    "PolicyAgent"=2 (0x2)
    "Pml Driver HPZ12"=2 (0x2)
    "PlugPlay"=2 (0x2)
    "O&O Defrag"=2 (0x2)
    "NVSvc"=2 (0x2)
    "NtmsSvc"=3 (0x3)
    "NtLmSsp"=3 (0x3)
    "Nla"=3 (0x3)
    "Netman"=3 (0x3)
    "Netlogon"=3 (0x3)
    "MSIServer"=3 (0x3)
    "MSDTC"=3 (0x3)
    "mnmsrvc"=3 (0x3)
    "mi-raysat_3dsmax8"=2 (0x2)
    "LmHosts"=2 (0x2)
    "lanmanworkstation"=2 (0x2)
    "lanmanserver"=2 (0x2)
    "ImapiService"=3 (0x3)
    "idsvc"=3 (0x3)
    "IDriverT"=3 (0x3)
    "HTTPFilter"=3 (0x3)
    "HidServ"=2 (0x2)
    "helpsvc"=2 (0x2)
    "FTRTSVC"=2 (0x2)
    "FontCache3.0.0.0"=3 (0x3)
    "FastUserSwitchingCompatibility"=3 (0x3)
    "EventSystem"=3 (0x3)
    "Eventlog"=2 (0x2)
    "ERSvc"=2 (0x2)
    "Dnscache"=2 (0x2)
    "dmserver"=3 (0x3)
    "dmadmin"=3 (0x3)
    "Dhcp"=2 (0x2)
    "CryptSvc"=2 (0x2)
    "COMSysApp"=3 (0x3)
    "combofix"=3 (0x3)
    "clr_optimization_v2.0.50727_32"=3 (0x3)
    "CiSvc"=3 (0x3)
    "Browser"=2 (0x2)
    "BITS"=3 (0x3)
    "Autodesk Licensing Service"=2 (0x2)
    "AudioSrv"=2 (0x2)
    "aspnet_state"=3 (0x3)
    "AppMgmt"=3 (0x3)
    "ALG"=3 (0x3)
    "Adobe LM Service"=3 (0x3)
    "aawservice"=2 (0x2)
    "6to4"=2 (0x2)

    R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 16:40]
    S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-09 10:07]
    S4 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-05-24 13:28]
    S4 sfmgr;CaReTaKeR-CT NetMgr 1.2.1;C:\sfmgr\sfmgr.exe [2004-02-11 10:51]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e8367e8-8ea7-11dc-9802-806d6172696f}]
    \Shell\AutoRun\command - D:\Run.exe

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-01-19 15:28:17
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2008-01-19 15:28:43
    ComboFix-quarantined-files.txt 2008-01-19 14:28:40
    ComboFix2.txt 2008-01-19 11:22:54
    .
    2008-01-11 02:04:35 --- E O F ---
    0
  19. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    OK, merci.

    A)- CIT. « j ai relancer combofix qui a marcher nikel (petite info en passant a chaque redemarrage de la becane windows me dis k il dois etre reactiver sous 3 jour consequence de bagle??) »

    Je n'avais pas lu correctement (difficile à lire pour moi).
    Je ne sais pas; je n'ai jamais entendu dire cela .
    Mais si ta licence WINDOWS est arrivée à terme; ce message est un avertissement.
    Sinon, vois en désactivant les mises à jour automatiques (via "Panneau de Cofiguration")

    Pour le "Gestionnaire de tâches", il faut ouvrir une discussion (= topic) sur le forum "WINDOWS" où tu devrais être aidé.

    B)- Le dernier rapport ANTIVIR est sain. ==> Vide sa QUARANTINE.

    C)- Mais je lis ce que je redoutais depuis le début; à savoir:

    [[C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\3ds Max 7 - Brazil_RS_1.2.53 + crack.rar
    [0] Archive type: RAR
    --> setup.exe
    [DETECTION] Contains detection pattern of the worm WORM/P2P.Kapucen.Gen
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation Rubbertools v1.51F For 3Dsmax v6 X-Paradox By Efish.rar
    [0] Archive type: RAR
    --> pdxdr5.001
    [1] Archive type: RAR
    --> Crack\keyProducer.exe
    [DETECTION] Contains suspicious code HEUR/Crypted
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation.F-edge.for.max6.rar
    [0] Archive type: RAR
    --> f-edge for max6\f-edge.v1.02r4.for.3dsmax5.x6 keygen.exe
    [DETECTION] Is the Trojan horse TR/Packed.2466
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier 3d\PLUGIN 3DMAX\Digimation_Rubbertools_v1.51f_for_3DSMAX_v6.x-PARADOX.by.efish.rar
    [0] Archive type: RAR
    --> pdxdr5.001
    [1] Archive type: RAR
    --> Crack\keyProducer.exe
    [DETECTION] Contains suspicious code HEUR/Crypted
    [WARNING] The file was ignored!
    C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.exe
    [0] Archive type: ZIP SFX (self extracting)
    --> CDSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/NETSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/UNADMIN.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> PROG32/HLPRSVC.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    [INFO] The file was moved to '47f8edf0.qua'!
    C:\donnees OO@pS\-----S0fT5-----\dossier secu internet\vigard\vig32fr.zip
    [0] Archive type: ZIP
    --> vig32fr.exe
    [1] Archive type: ZIP SFX (self extracting)
    --> CDSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/NETSETUP.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> ADMIN/UNADMIN.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    --> PROG32/HLPRSVC.EXE
    [DETECTION] Contains suspicious code HEUR/Crypted
    [INFO] The file was moved to '47f8edf5.qua'!
    ]]

    Lis ceci:

    1°- Je suis ennuyé parce qu'alors que je demande de l'aide à des Masters, je me fais sermonner comme ceci :
    « Ton "client" est donc un âne qui télécharge sur Emule tout et surtout n'importe quoi et il a infecté son ordinateur via un crack.
    Tu es censé lui expliquer que les cracks c'est interdit, vecteur de malwares etc.. par exemple en lui donnant ce lien : http://forum.malekal.com/ftopic893.php
    Clairement, tu perds ton temps puisque je pense que ton "client" est un ado.. qui fait ce que tout ado fait sur internet... MSN, Emule & Cracks.. donc une fois que tu as terminé la désinfection... il va encore télécharger n'importe quoi et se réinfecter.
    . »

    2°- ces deux topics très clairs:
    - le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&...ght=cracks#4492
    http://forum.malekal.com/ftopic893.php
    - le second de Tesgaz concerne le P2P en général => https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
    Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

    Al.
    0
  20. ooaps
     
    je suis d accord avec toi concernat les crack mais le souci c est que ces fichier m on etait donne par mon prof de 3d durant ma formation
    et entre nous je suis loin d etre un ado 30 ans passer mon adolescence me manque parfois
    je suis desole que tu te sois fait sermoner je ne suis pas du qenre a telecharger tout et n importe quoi et si un soft me plait je recupere sa license!!!rare mais ca existe
    et sinon est ce que je peux supprime hijack et boootfix du pc et le fichier quarantine c est bien celui qui se trouve ds QooBox
    si je vire le vers de mon rendu brazil3dsmax celui ci fonctionnera t il tjrs?
    et merci encore de ta patience
    encore une derniere question je garde antivir en antivirus mais hormi le firewall de windows tu me conseille quoi
    durant tout c est souci j ai essaye d installe panda installation ecouer mais il n apparait pas dans la suppression de programme si je le vire de prgfile et du registre cela suffit il??

    encore desole pour toi mais surtout un grand merci pour ta patience et ta disponibilite et merci pour les lien de zebulon malekal et autre bonne source d info
    0
  21. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    A)- Bon, fais ceci pour supprimer les outils utilisés; ça supprimera également leur quarantaine, backup et QooBox .

    •- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
    •- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
    •- Lance OTMoveIt.exe par double-clic
    [*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
    NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le.
    [*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
    [*]Un message apparaît pour confirmer le nettoyage. Confirme
    Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
    •- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".

    La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.

    B)- ==> garde antivir en antivirus

    C)- ==> Panda, ne l'utilise qu'en scan online ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
    •- Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
    •- Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > )

    Pour ta question « mais il n apparait pas dans la suppression de programme si je le vire de prgfile et du registre cela suffit il?? » ==> oui, cela suffit. Tu peux aussi utiliser la dernière version gratuite de JV16 PowerTools:
    < http://telechargement.zebulon.fr/201-jv16-powertools.html > Tutorial ici: < http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm >

    D)- ==> Le pare-feu de Windows ne contrôle pas les fichiers SORTANTS (il ne "contrôle" que les entrées!)
    Je conseille,
    - soit:

    Pour ledit pare-feu de Windows, clique sur [Démarrer], puis sur "Panneau de configuration" et là, ouvre le "Centre de sécurité" (icône du bouclier) comme ceci : clic-droit puis "Ouvrir" dans le petit menu contextuel affiché.
    Assure-toi tout d'abord que le pare-feu est activé (le bouton est vert dans ce cas!), comme ceci < https://www.hiboox.com > .
    Clique sur le menu pare-feu et sélectionne l'onglet "Exceptions".
    Si la case "Partage de fichiers et d'imprimantes" est cochée , décoche-la, comme ceci < https://www.hiboox.com >.
    Tu remarqueras que j'ai entouré la phrase qui démontre que le pare-feu de Windows XP ne contrôle que les connexions entrantes et encore !.
    Et si tu as un trojan c'est surtout les connexions sortantes qu'il faut contrôler...
    Le parefeu Windows configuré de cette manière évite la surinfection.

    - soit:
    Télécharge ce pare-feu KERIO:
    ( pare-feu, qui reste gratuit après la période d'essai de 21 jours! ) ,
    ici : < http://www.dsi12.fr/telechargements/vnc/kerio-kpf-4.2.2-911-win.exe >
    ou là :< http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html >

    •- Ensuite lancer l'installation de ce pare-feu, comme ceci :
    - Impérativement couper la connexion de ton modem (débranche-le),
    - Ça peut être un routeur et tu es relié par un câble, tu débranches le cable.
    - Ça peut être un mécanisme wifi. Tu l'arrêtes ou tu le débranches si c'est un dongle).
    -
    -- Ensuite installer ce pare-feu une fois téléchargé ,
    -- et l'activer ( vérifier à ce moment que celui de Windows soit bien désactivé
    -- si non, fais-le manuellement, comme ceci : - Démarrer ->panneau de config (en affichage classique) -> pare-feu windows et tu le mets sur "désactiver". ) < https://www.vulgarisation-informatique.com/pare-feu-xp.php >
    -
    --- Enfin si tout s'est bien déroulé, rétablir ta connexion à Internet.

    •- Mais n'hésite pas à profiter des dernières versions si possible (Eventuellement mettre à jour Kério).

    •- Visite ceci: < http://kerio.probb.fr/Securiser-et-desinfecter-c6/Configurer-parametrer-Kerio-4-version-gratuite-f2/Tutoriel-pour-Kerio-43635-p1012.htm > ; c'est ton intérêt .
    Et clic là où renvoient les flèches < http://img249.imageshack.us/img249/1538/screenshot254tq8.gif > Sur ce site, tu seras aidé spécifiquement à Kerio.

    Avec ces tutoriels pour configurer et comprendre l'utilisation de Kerio
    - http://www.chez.com/leppa/scripts/kpfV4.html
    - https://www.vulgarisation-informatique.com/kerio.php
    Et pour bloquer des ports avec Kerio - créer une règle de filtrage < https://www.vulgarisation-informatique.com/bloquer-ports.php >

    E)- Je t'ajoute mon anti-spyware que je laisse en protection en temps réel.
    Spyware Terminator 2.1.0.285 Beta < http://www.freewarefiles.com/program_9_206_18312.html >
    Un tutoriel ici : < https://forum.pcastuces.com/sujet.asp?f=25&s=21928 >

    Bonne chance, et merci pour ta participation active.
    Al.
    0