A l'aide rookit Win32NT B
crinoffe
-
crinoffe -
crinoffe -
Bonjour,
j'ai eu un gros souci avec des troyens. J'en ai éliminé 2 mais il reste un rootkit.
A chaque démarrage de windows, avast me met qu'il y a un virus "Win32NT Root Kit- B" dans le fichier ntload.sys qui se trouve dans c:\Windows\system32.
Lorsque je fais mettre en quarantaine ou supprimer ça ne marche pas, ca revient à chaque démarrage.
Je suis un peu pommé car je ne sais pas quoi faire d'autre (spybot ne le trouve pas non plus) et ai besoin de votre aide. Merci d'avance.
j'ai eu un gros souci avec des troyens. J'en ai éliminé 2 mais il reste un rootkit.
A chaque démarrage de windows, avast me met qu'il y a un virus "Win32NT Root Kit- B" dans le fichier ntload.sys qui se trouve dans c:\Windows\system32.
Lorsque je fais mettre en quarantaine ou supprimer ça ne marche pas, ca revient à chaque démarrage.
Je suis un peu pommé car je ne sais pas quoi faire d'autre (spybot ne le trouve pas non plus) et ai besoin de votre aide. Merci d'avance.
A voir également:
- A l'aide rookit Win32NT B
- B&you - Guide
- Réinitialiser tv essentiel b - Forum Téléviseurs
- Cpl essentiel b pas de connexion internet - Forum CPL
- B exit avis - Forum Consommation & Internet
- CODE TELECOMMANDE ESSENTIEL B - Forum Matériel & Système
31 réponses
Salut tout le monde. Désolé je n'ai pas eu beaucoup de temps ces derniers jours.
Je voulais vous dire que mon problème était résolu. J'ai mis Superantispyware en mode sans échec. Ca marche du feu de dieu. Il m'a tout éliminé.
Il restait un programme ou un truc comme ça qui faisait apparaître des fichiers tmp.exe dans C:\program files, j'ai mis un firewall (kerio) et bloquer le programme.
Depuis plus de souci.
Merci à tous pour votre aide. Sans vous j'étais cuit.
Je voulais vous dire que mon problème était résolu. J'ai mis Superantispyware en mode sans échec. Ca marche du feu de dieu. Il m'a tout éliminé.
Il restait un programme ou un truc comme ça qui faisait apparaître des fichiers tmp.exe dans C:\program files, j'ai mis un firewall (kerio) et bloquer le programme.
Depuis plus de souci.
Merci à tous pour votre aide. Sans vous j'étais cuit.
Salut
je doute que ton problème soit résolu ! ou du moins il ne l'est quand apparence ! car les rapports que tu avais postés parlaient deux même !
...
@+
je doute que ton problème soit résolu ! ou du moins il ne l'est quand apparence ! car les rapports que tu avais postés parlaient deux même !
...
@+
Que crois tu que je fasses encore
Des modif du registre
????
Des modif du registre
????
Désolé de mon manque de clarté. Effectivement en relisant j'ai moi même eu du mal a me suivre ;-).
En fait j'ai remarqué qu'un programme utilisait furtivement IE. Je l'ai bloqué avec le pare feu et g même restreint la connexion aux sites web de confiance (ds la config de IE).
Comment est ce que je pourrais trouver le programme qui s'execute en douce ?
Qu'est ce qui t'inquiètait dans mes rapports d'analyse?
Je vais essayer un scan complet avec antispyware en mode sans échec.
En fait j'ai remarqué qu'un programme utilisait furtivement IE. Je l'ai bloqué avec le pare feu et g même restreint la connexion aux sites web de confiance (ds la config de IE).
Comment est ce que je pourrais trouver le programme qui s'execute en douce ?
Qu'est ce qui t'inquiètait dans mes rapports d'analyse?
Je vais essayer un scan complet avec antispyware en mode sans échec.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ce rootkit de se supprime pas aussi facilement !
essaye de refaire ceci stp :
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
essaye de refaire ceci stp :
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
Salut Greenday. Je viens de lancer ComboFix
Voici le log:
ComboFix 08-03-01.3 - Christophe 2008-03-02 11:06:42.3 - NTFSx86 MINIMAL
Endroit: C:\Documents and Settings\Christophe\Bureau\ComboFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\pmnkhii.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Program Files\ucleaner_setup.exe
C:\WINDOWS\system32\idsuflpp.dll
C:\WINDOWS\system32\ihhhk.ini
C:\WINDOWS\system32\ihhhk.ini2
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\mdpxxfcj.dll
C:\WINDOWS\system32\opnkjih.dll
C:\WINDOWS\system32\pmnkhii.dll
C:\WINDOWS\system32\pplfusdi.ini
C:\WINDOWS\system32\qhtemqgd.ini
C:\WINDOWS\system32\system\msxml4.dll
C:\WINDOWS\system32\system\msxml4r.dll
C:\WINDOWS\system32\winkei32.dll
C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\ynahriwq.dll
.
---- Previous Run -------
.
C:\Program Files\ucleaner_setup.exe
C:\WINDOWS\system32\idsuflpp.dll
C:\WINDOWS\system32\ihhhk.ini
C:\WINDOWS\system32\ihhhk.ini2
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\mdpxxfcj.dll
C:\WINDOWS\system32\opnkjih.dll
C:\WINDOWS\system32\pmnkhii.dll
C:\WINDOWS\system32\pplfusdi.ini
C:\WINDOWS\system32\qhtemqgd.ini
C:\WINDOWS\system32\system
C:\WINDOWS\system32\system\msxml4.dll
C:\WINDOWS\system32\system\msxml4r.dll
C:\WINDOWS\system32\winkei32.dll
C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\ynahriwq.dll
----- BITS: Possible sites infectés -----
hxxp://õj
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\ntload
((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 ))))))))))))))))))))))))))))))))))))
.
2008-03-01 19:32 . 2008-03-01 19:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 19:32 . 2008-03-01 19:32 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-01 19:01 . 2008-03-01 19:01 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\Jetico Personal Firewall
2008-03-01 18:52 . 2008-03-01 18:52 <REP> d-------- C:\Program Files\Jetico
2008-03-01 18:52 . 2005-02-21 16:44 163,840 --a------ C:\WINDOWS\BCUnInstall.exe
2008-03-01 18:52 . 2005-05-18 08:09 45,739 --a------ C:\WINDOWS\system32\drivers\bcftdi.sys
2008-03-01 18:52 . 2005-02-18 06:50 17,536 --a------ C:\WINDOWS\system32\drivers\bc_ip_f.sys
2008-03-01 18:52 . 2005-06-23 11:19 16,640 --a------ C:\WINDOWS\system32\drivers\bc_filter.sys
2008-03-01 18:52 . 2005-02-18 06:50 13,344 --a------ C:\WINDOWS\system32\drivers\bc_tdi_f.sys
2008-03-01 18:52 . 2005-02-18 06:50 8,960 --a------ C:\WINDOWS\system32\drivers\bc_ngn.sys
2008-03-01 18:52 . 2005-02-18 06:50 4,928 --a------ C:\WINDOWS\system32\drivers\bc_pat_f.sys
2008-03-01 18:52 . 2005-02-18 06:50 4,576 --a------ C:\WINDOWS\system32\drivers\bc_prt_f.sys
2008-02-27 20:38 . 2008-02-27 20:38 <REP> d-------- C:\Program Files\PrintKey 2000 Fr
2008-02-22 14:08 . 2008-02-22 14:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-02-22 14:07 . 2008-02-28 13:51 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2008-02-22 14:07 . 2008-02-22 14:07 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\SUPERAntiSpyware.com
2008-02-22 13:52 . 2008-02-22 13:51 72,192 --a------ C:\WINDOWS\system32\tasklist.exe
2008-02-22 09:46 . 2008-02-29 11:40 875 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-02-21 21:57 . 2008-02-21 21:57 <REP> d-------- C:\Program Files\Sunbelt Software
2008-02-21 13:02 . 2008-02-21 13:23 <REP> d-------- C:\Program Files\a-squared Free
2008-02-21 12:55 . 2008-02-21 12:55 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\TuneUp Software
2008-02-21 12:54 . 2008-02-21 12:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-02-21 12:54 . 2008-02-21 12:54 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-21 12:54 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-21 12:53 . 2008-02-21 12:58 <REP> d-------- C:\Program Files\TuneUp Utilities 2008
2008-02-21 11:07 . 2008-02-21 11:07 <REP> d-------- C:\_OTMoveIt
2008-02-19 08:40 . 2008-02-19 08:40 <REP> d-------- C:\WINDOWS\ERUNT
2008-02-18 11:03 . 2008-02-18 11:03 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-02-16 20:47 . 2005-06-27 22:00 <REP> d-------- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-02-16 20:47 . 2004-12-07 07:20 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-02-16 20:47 . 2004-12-07 06:25 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-02-16 20:47 . 2004-12-09 10:54 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-02-16 20:47 . 2008-01-22 10:20 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-02-16 20:47 . 2004-12-09 10:54 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-02-16 20:47 . 2004-12-09 11:13 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-02-16 20:47 . 2004-12-07 07:24 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\toshiba
2008-02-16 20:47 . 2004-12-07 07:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2008-02-16 20:47 . 2004-12-07 07:28 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-02-16 19:36 . 2004-08-05 12:00 539,136 --a------ C:\WINDOWS\system32\kmd.exe
2008-02-16 19:25 . 2008-02-16 19:25 <REP> d-------- C:\Program Files\Trend Micro
2008-02-16 17:19 . 2008-02-21 22:10 <REP> d-------- C:\Program Files\a-squared Anti-Malware
2008-02-15 13:41 . 2008-02-15 13:39 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-15 13:41 . 2008-02-15 13:41 3,456 --a------ C:\WINDOWS\unins000.dat
2008-02-05 12:18 . 2008-02-05 12:19 <REP> d-------- C:\Program Files\Paint.NET
2008-02-03 12:49 . 2008-02-04 21:10 <REP> d-------- C:\Program Files\HomePlayer1.5.4
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 09:38 --------- d-----w C:\Program Files\TextAloud
2008-03-01 17:12 --------- d-----w C:\Documents and Settings\Christophe\Application Data\OpenOffice.org2
2008-02-22 13:06 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-22 12:38 --------- d-----w C:\Documents and Settings\Christophe\Application Data\Hamachi
2008-02-21 21:19 --------- d-----w C:\Program Files\Mozilla Sunbird
2008-02-21 21:14 --------- d-----w C:\Documents and Settings\Christophe\Application Data\Lavasoft
2008-02-16 17:53 --------- d-----w C:\Program Files\Webteh
2008-02-15 13:40 --------- d-----w C:\Program Files\Microsoft Games
2008-02-15 12:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-15 12:46 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-02-03 07:46 --------- d-----w C:\Program Files\Java
2008-01-31 19:54 --------- d-----w C:\Program Files\HomePlayer1.5.3.1
2008-01-22 09:52 --------- d-----w C:\Program Files\CONEXANT
2008-01-22 09:43 --------- d-----w C:\Program Files\SimpleDivX
2008-01-22 09:43 --------- d-----w C:\Program Files\SeisGram2K
2008-01-22 09:38 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-01-22 09:31 --------- d-----w C:\Program Files\Winamp
2008-01-22 09:28 --------- d-----w C:\Program Files\ALDI Service Photo
2008-01-22 09:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-22 09:24 --------- d-----w C:\Program Files\Kiyut
2008-01-22 09:21 --------- d-----w C:\Program Files\Orb Networks
2008-01-15 10:12 --------- d-----w C:\Program Files\DAEMON Tools
2008-01-13 20:02 --------- d-----w C:\Program Files\Alwil Software
2008-01-13 20:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-01-11 19:43 --------- d-----w C:\Program Files\Panasonic
2008-01-11 19:42 --------- d-----w C:\Documents and Settings\Christophe\Application Data\Panasonic
2007-09-23 20:42 333,457 ----a-w C:\Documents and Settings\Christophe\Application Data\mdb.bin
2007-07-28 16:39 30,601 ----a-w C:\Documents and Settings\Christophe\x.exe
2006-11-14 13:18 1,512 ----a-w C:\Documents and Settings\Christophe\Application Data\wklnhst.dat
2006-08-02 15:41 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-08-11 19:49 73,728 --sha-w C:\WINDOWS\BricoPacks\SysFiles\86_wmplayer.exe
2005-10-14 20:57 56 --sh--r C:\WINDOWS\system32\BC2F1D98DF.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00BC12C5-AEAC-4DBE-9742-35C0E5807D85}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{182C7ED7-E56D-4509-9D9B-AC49318D9895}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe" [2006-05-14 21:47 344064]
"UberIcon"="C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe" [2006-02-05 13:20 180224]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
"srvreg"="C:\WINDOWS\system32\srvreg.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NDSTray.exe"="NDSTray.exe" []
"AcctMgr"="C:\Program Files\Norton Password Manager\AcctMgr.exe" [2004-02-20 15:54 586856]
"JeticoPFStartup"="C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe" [2005-07-19 07:22 118784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 15:38 39264]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WinComponent"= {11cf4037-dee2-436b-b1e2-5d36493411c6} - C:\WINDOWS\Installer\{11cf4037-dee2-436b-b1e2-5d36493411c6}\WinComponent.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\[u]0[/u]0a6b9b6]
C:\WINDOWS\system32\dgqmethq.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASuite]
C:\Program Files\ASuite\ASuite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFSServ.exe]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 20:21 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 C:\Program Files\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyPHP]
C:\Program Files\EasyPHP1-8\EasyPHP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Program Files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanceurEasyBox]
C:\Program Files\EasyBox\EasyBox.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-09-28 02:17 443968 C:\Program Files\Picasa2\PicasaMediaDetector.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 C:\Program Files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-08-31 11:57 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2003-09-15 16:19 65536 C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"AcctMgr"=C:\Program Files\Norton Password Manager\AcctMgr.exe /startup
"combofix"=C:\WINDOWS\system32\kmd.exe /c C:\ComboFix\Combobatch.bat
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1
R1 HFCore;HFCore;C:\WINDOWS\system32\drivers\HFCore.sys [2006-05-30 12:46]
R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft;C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 22:57]
R3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-11-04 18:29]
R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2004-11-23 19:50]
R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2004-08-18 17:02]
R3 SMBBATT;Pilote de batterie intelligente Microsoft;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2004-08-04 00:07]
S3 DrvSnSht;DrvSnSht;C:\Program Files\R-Drive Image\DrvSnSht.sys []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\ALDI Service Photo\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 02:13]
S3 R-ImageDisk;R-ImageDisk;C:\Program Files\R-Drive Image\R-ImageDisk.sys []
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]
S3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 13:22]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{034f24b2-ea3d-11da-8019-00c09f74639c}]
\Shell\AutoRun\command - J:\setup.exe /autorun
\Shell\directx\command - J:\DirectX\dxsetup.exe
\Shell\setup\command - J:\setup.exe
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-21 11:56:27 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
"2007-12-31 23:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job"
- C:\Program Files\Fichiers communs\Symantec Shared\SymDrmc.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 11:13:58
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-02 11:29:40 - machine was rebooted [Christophe]
ComboFix-quarantined-files.txt 2008-03-02 10:21:23
.
2008-02-13 19:13:10 --- E O F ---
Voici le log:
ComboFix 08-03-01.3 - Christophe 2008-03-02 11:06:42.3 - NTFSx86 MINIMAL
Endroit: C:\Documents and Settings\Christophe\Bureau\ComboFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\pmnkhii.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Program Files\ucleaner_setup.exe
C:\WINDOWS\system32\idsuflpp.dll
C:\WINDOWS\system32\ihhhk.ini
C:\WINDOWS\system32\ihhhk.ini2
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\mdpxxfcj.dll
C:\WINDOWS\system32\opnkjih.dll
C:\WINDOWS\system32\pmnkhii.dll
C:\WINDOWS\system32\pplfusdi.ini
C:\WINDOWS\system32\qhtemqgd.ini
C:\WINDOWS\system32\system\msxml4.dll
C:\WINDOWS\system32\system\msxml4r.dll
C:\WINDOWS\system32\winkei32.dll
C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\ynahriwq.dll
.
---- Previous Run -------
.
C:\Program Files\ucleaner_setup.exe
C:\WINDOWS\system32\idsuflpp.dll
C:\WINDOWS\system32\ihhhk.ini
C:\WINDOWS\system32\ihhhk.ini2
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\mdpxxfcj.dll
C:\WINDOWS\system32\opnkjih.dll
C:\WINDOWS\system32\pmnkhii.dll
C:\WINDOWS\system32\pplfusdi.ini
C:\WINDOWS\system32\qhtemqgd.ini
C:\WINDOWS\system32\system
C:\WINDOWS\system32\system\msxml4.dll
C:\WINDOWS\system32\system\msxml4r.dll
C:\WINDOWS\system32\winkei32.dll
C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\ynahriwq.dll
----- BITS: Possible sites infectés -----
hxxp://õj
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\ntload
((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 ))))))))))))))))))))))))))))))))))))
.
2008-03-01 19:32 . 2008-03-01 19:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 19:32 . 2008-03-01 19:32 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-01 19:01 . 2008-03-01 19:01 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\Jetico Personal Firewall
2008-03-01 18:52 . 2008-03-01 18:52 <REP> d-------- C:\Program Files\Jetico
2008-03-01 18:52 . 2005-02-21 16:44 163,840 --a------ C:\WINDOWS\BCUnInstall.exe
2008-03-01 18:52 . 2005-05-18 08:09 45,739 --a------ C:\WINDOWS\system32\drivers\bcftdi.sys
2008-03-01 18:52 . 2005-02-18 06:50 17,536 --a------ C:\WINDOWS\system32\drivers\bc_ip_f.sys
2008-03-01 18:52 . 2005-06-23 11:19 16,640 --a------ C:\WINDOWS\system32\drivers\bc_filter.sys
2008-03-01 18:52 . 2005-02-18 06:50 13,344 --a------ C:\WINDOWS\system32\drivers\bc_tdi_f.sys
2008-03-01 18:52 . 2005-02-18 06:50 8,960 --a------ C:\WINDOWS\system32\drivers\bc_ngn.sys
2008-03-01 18:52 . 2005-02-18 06:50 4,928 --a------ C:\WINDOWS\system32\drivers\bc_pat_f.sys
2008-03-01 18:52 . 2005-02-18 06:50 4,576 --a------ C:\WINDOWS\system32\drivers\bc_prt_f.sys
2008-02-27 20:38 . 2008-02-27 20:38 <REP> d-------- C:\Program Files\PrintKey 2000 Fr
2008-02-22 14:08 . 2008-02-22 14:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-02-22 14:07 . 2008-02-28 13:51 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2008-02-22 14:07 . 2008-02-22 14:07 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\SUPERAntiSpyware.com
2008-02-22 13:52 . 2008-02-22 13:51 72,192 --a------ C:\WINDOWS\system32\tasklist.exe
2008-02-22 09:46 . 2008-02-29 11:40 875 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-02-21 21:57 . 2008-02-21 21:57 <REP> d-------- C:\Program Files\Sunbelt Software
2008-02-21 13:02 . 2008-02-21 13:23 <REP> d-------- C:\Program Files\a-squared Free
2008-02-21 12:55 . 2008-02-21 12:55 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\TuneUp Software
2008-02-21 12:54 . 2008-02-21 12:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-02-21 12:54 . 2008-02-21 12:54 306,432 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-02-21 12:54 . 2007-12-20 10:41 29,440 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-02-21 12:53 . 2008-02-21 12:58 <REP> d-------- C:\Program Files\TuneUp Utilities 2008
2008-02-21 11:07 . 2008-02-21 11:07 <REP> d-------- C:\_OTMoveIt
2008-02-19 08:40 . 2008-02-19 08:40 <REP> d-------- C:\WINDOWS\ERUNT
2008-02-18 11:03 . 2008-02-18 11:03 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-02-16 20:47 . 2005-06-27 22:00 <REP> d-------- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-02-16 20:47 . 2004-12-07 07:20 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-02-16 20:47 . 2004-12-07 06:25 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-02-16 20:47 . 2004-12-09 10:54 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-02-16 20:47 . 2008-01-22 10:20 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-02-16 20:47 . 2004-12-09 10:54 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-02-16 20:47 . 2004-12-09 11:13 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-02-16 20:47 . 2004-12-07 07:24 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\toshiba
2008-02-16 20:47 . 2004-12-07 07:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2008-02-16 20:47 . 2004-12-07 07:28 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-02-16 19:36 . 2004-08-05 12:00 539,136 --a------ C:\WINDOWS\system32\kmd.exe
2008-02-16 19:25 . 2008-02-16 19:25 <REP> d-------- C:\Program Files\Trend Micro
2008-02-16 17:19 . 2008-02-21 22:10 <REP> d-------- C:\Program Files\a-squared Anti-Malware
2008-02-15 13:41 . 2008-02-15 13:39 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-15 13:41 . 2008-02-15 13:41 3,456 --a------ C:\WINDOWS\unins000.dat
2008-02-05 12:18 . 2008-02-05 12:19 <REP> d-------- C:\Program Files\Paint.NET
2008-02-03 12:49 . 2008-02-04 21:10 <REP> d-------- C:\Program Files\HomePlayer1.5.4
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-02 09:38 --------- d-----w C:\Program Files\TextAloud
2008-03-01 17:12 --------- d-----w C:\Documents and Settings\Christophe\Application Data\OpenOffice.org2
2008-02-22 13:06 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-22 12:38 --------- d-----w C:\Documents and Settings\Christophe\Application Data\Hamachi
2008-02-21 21:19 --------- d-----w C:\Program Files\Mozilla Sunbird
2008-02-21 21:14 --------- d-----w C:\Documents and Settings\Christophe\Application Data\Lavasoft
2008-02-16 17:53 --------- d-----w C:\Program Files\Webteh
2008-02-15 13:40 --------- d-----w C:\Program Files\Microsoft Games
2008-02-15 12:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-15 12:46 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-02-03 07:46 --------- d-----w C:\Program Files\Java
2008-01-31 19:54 --------- d-----w C:\Program Files\HomePlayer1.5.3.1
2008-01-22 09:52 --------- d-----w C:\Program Files\CONEXANT
2008-01-22 09:43 --------- d-----w C:\Program Files\SimpleDivX
2008-01-22 09:43 --------- d-----w C:\Program Files\SeisGram2K
2008-01-22 09:38 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-01-22 09:31 --------- d-----w C:\Program Files\Winamp
2008-01-22 09:28 --------- d-----w C:\Program Files\ALDI Service Photo
2008-01-22 09:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-22 09:24 --------- d-----w C:\Program Files\Kiyut
2008-01-22 09:21 --------- d-----w C:\Program Files\Orb Networks
2008-01-15 10:12 --------- d-----w C:\Program Files\DAEMON Tools
2008-01-13 20:02 --------- d-----w C:\Program Files\Alwil Software
2008-01-13 20:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-01-11 19:43 --------- d-----w C:\Program Files\Panasonic
2008-01-11 19:42 --------- d-----w C:\Documents and Settings\Christophe\Application Data\Panasonic
2007-09-23 20:42 333,457 ----a-w C:\Documents and Settings\Christophe\Application Data\mdb.bin
2007-07-28 16:39 30,601 ----a-w C:\Documents and Settings\Christophe\x.exe
2006-11-14 13:18 1,512 ----a-w C:\Documents and Settings\Christophe\Application Data\wklnhst.dat
2006-08-02 15:41 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-08-11 19:49 73,728 --sha-w C:\WINDOWS\BricoPacks\SysFiles\86_wmplayer.exe
2005-10-14 20:57 56 --sh--r C:\WINDOWS\system32\BC2F1D98DF.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00BC12C5-AEAC-4DBE-9742-35C0E5807D85}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{182C7ED7-E56D-4509-9D9B-AC49318D9895}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe" [2006-05-14 21:47 344064]
"UberIcon"="C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe" [2006-02-05 13:20 180224]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
"srvreg"="C:\WINDOWS\system32\srvreg.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NDSTray.exe"="NDSTray.exe" []
"AcctMgr"="C:\Program Files\Norton Password Manager\AcctMgr.exe" [2004-02-20 15:54 586856]
"JeticoPFStartup"="C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe" [2005-07-19 07:22 118784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 15:38 39264]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WinComponent"= {11cf4037-dee2-436b-b1e2-5d36493411c6} - C:\WINDOWS\Installer\{11cf4037-dee2-436b-b1e2-5d36493411c6}\WinComponent.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\[u]0[/u]0a6b9b6]
C:\WINDOWS\system32\dgqmethq.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASuite]
C:\Program Files\ASuite\ASuite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFSServ.exe]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2006-09-28 20:21 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 C:\Program Files\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyPHP]
C:\Program Files\EasyPHP1-8\EasyPHP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Program Files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanceurEasyBox]
C:\Program Files\EasyBox\EasyBox.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-09-28 02:17 443968 C:\Program Files\Picasa2\PicasaMediaDetector.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 C:\Program Files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-08-31 11:57 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2003-09-15 16:19 65536 C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"AcctMgr"=C:\Program Files\Norton Password Manager\AcctMgr.exe /startup
"combofix"=C:\WINDOWS\system32\kmd.exe /c C:\ComboFix\Combobatch.bat
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1
R1 HFCore;HFCore;C:\WINDOWS\system32\drivers\HFCore.sys [2006-05-30 12:46]
R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft;C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 22:57]
R3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-11-04 18:29]
R3 qkbfiltr;Quanta HotKey Keyboard Filter Driver;C:\WINDOWS\system32\drivers\qkbfiltr.sys [2004-11-23 19:50]
R3 qmofiltr;Quanta HotKey Mouse Filter Driver;C:\WINDOWS\system32\drivers\qmofiltr.sys [2004-08-18 17:02]
R3 SMBBATT;Pilote de batterie intelligente Microsoft;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2004-08-04 00:07]
S3 DrvSnSht;DrvSnSht;C:\Program Files\R-Drive Image\DrvSnSht.sys []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\ALDI Service Photo\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 02:13]
S3 R-ImageDisk;R-ImageDisk;C:\Program Files\R-Drive Image\R-ImageDisk.sys []
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]
S3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 13:22]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{034f24b2-ea3d-11da-8019-00c09f74639c}]
\Shell\AutoRun\command - J:\setup.exe /autorun
\Shell\directx\command - J:\DirectX\dxsetup.exe
\Shell\setup\command - J:\setup.exe
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-21 11:56:27 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
"2007-12-31 23:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job"
- C:\Program Files\Fichiers communs\Symantec Shared\SymDrmc.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 11:13:58
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-02 11:29:40 - machine was rebooted [Christophe]
ComboFix-quarantined-files.txt 2008-03-02 10:21:23
.
2008-02-13 19:13:10 --- E O F ---
C:\WINDOWS\system32\idsuflpp.dll
C:\WINDOWS\system32\ihhhk.ini
C:\WINDOWS\system32\ihhhk.ini2
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\mdpxxfcj.dll
C:\WINDOWS\system32\opnkjih.dll
C:\WINDOWS\system32\pmnkhii.dll
Un peu suspect tous sa !!
C:\WINDOWS\system32\ihhhk.ini
C:\WINDOWS\system32\ihhhk.ini2
C:\WINDOWS\system32\khhhi.dll
C:\WINDOWS\system32\mdpxxfcj.dll
C:\WINDOWS\system32\opnkjih.dll
C:\WINDOWS\system32\pmnkhii.dll
Un peu suspect tous sa !!
De plus change d'antivirus parce-que malgré les cliché avast laisse passé beaucoup de virus ...
Jte conseille Nod32 si tu veux l'acheter ou gratuit Antivir
Je voit que tu as un parefeu
Mais as tu un anti-rootkit jte conseille avg ou sophos
A toi de faire ton choix :) apres on passe a la désinfection
Jte conseille Nod32 si tu veux l'acheter ou gratuit Antivir
Je voit que tu as un parefeu
Mais as tu un anti-rootkit jte conseille avg ou sophos
A toi de faire ton choix :) apres on passe a la désinfection
Un peu suspect tous sa !!
je dirai même plus, ces fichiers ont été supprimé ! ;-)
1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.
++
je dirai même plus, ces fichiers ont été supprimé ! ;-)
1/ # Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.
++
Je crois que j'ai encore fait une bourde.
J'ai voulu supprimer définitivement les éléments en quarantaine de superantispyware et lors de la suppression, avast s'est déclenché 3 fois (il y avait 3 archives). Je me demande si c'est normal.
J'ai fait un scan minitieux avec superantispyware et rien.
Je vais refaire un comboFix puis un Rav et un disenfector.
Qu'en penses tu?
J'ai voulu supprimer définitivement les éléments en quarantaine de superantispyware et lors de la suppression, avast s'est déclenché 3 fois (il y avait 3 archives). Je me demande si c'est normal.
J'ai fait un scan minitieux avec superantispyware et rien.
Je vais refaire un comboFix puis un Rav et un disenfector.
Qu'en penses tu?
