Je pense etre infecté par un trojan W32Résolu/Fermé

Question

Bonjour,

Voila mon probleme :

J'ai télécharger un petit logiciel de musique bien sympa : AIMP 2.51 ... ( un p'tit remplacant a winamp bien sympas )...

Je voulais y ajouter la visualisation ( enfin essayer ) milkdrop de winamp donc une petite recherche rapide sur Emule ma vite permis de trouver ce fichier :

Milkdrop 1.04 qui, depuis, j'ai ajouter un p'tit com pour dire qu'il été douteux !!! et si confirmation, je le virerai de mon ordi ...

Mais voila ... j'ai été surpris de voir dans ce fichier *.rar, un fichier crack.txt de 1.5 MO ... de plus, je ne voyer pas en quoi un fichier de visualisation avait besoin d'un crack ... bref, possedant Kaspersky 8 ( la démo actuellement en période d'essai donc a jour ) et spybot a jour ... je me suis dis que si il y avait quelques chose mes chere anti-probleme serai la !!!

Et bien apparement non !!!

Trés vite, Kaspersky c'est fermé ... ( tiens étrange ... ) je le rouvre et la : "kav.exe n'est pas une application win32 valide" ...

Alors je me dis "merde, je me suis fais infecté" ... j'ai alors voulu lancer spybot, il se lance et s'éteint aussitot sans aucun message d'erreur ...

Voila ce que j'aimerai que vous fassiez pour m'aider ( si cela est possible ) :

Pour les possesseur d'emule rechercher le fichier "Milkdrop 1.04.rar" ( environ 2,10 Mo ) ... et sans l'ouvrir bien sur, le scanner avec un antivirus pour me dire le nom exact du virus afin que je fasse des recherche plus approffondie pour résoudre le probleme car je dois bien avouez que j'aime pas trop rester sans anti-virus ( je n'ai pas pu réinstaller kaspersky ou avast ... ce sataner virus m'en empeche ) ...

Merci beaucoup !

verni29 · Answer

Tu es infecté par Bagle.

Pour eradiquer ce virus, il faut utiliser Elibagla :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Téléchargement en bas de page : descargar Elibagla
Enregistre-le sur ton bureau.

Tu vas essayer de lancer en mode sans échec. ( je dis bien essayer car ce virus peut empêcher l’accès à ce mode désinfection )
Tu redémarres ton ordinateur et tapotes sur la touche F8 jusqu’à l’apparition d’une fenêtre où tu pourras accéder au mode sans échec.

IMPORTANT : Si tu n’y arrives pas, n’insiste pas car sinon ton PC risque de faire des redémarrages en boucle. N’essaie pas non plus de modifier le fichier boot.ini
Tu utiliseras alors le logiciel sous Windows.
Tu lances Elibagla en double-cliquant dessus.
Ce genre d'infection peut être effectivement assez coriace. Si tu utilises cet outil, il te faudra plusieurs fois le passer ( 3 à 4 fois ).
Tu postes le rapport.

A+

Zouky86 · Answer

Pour infos le nom exact des fichiers contenu dans le "MilkDrop 1.04.zip" ( oui c'est un *.zip et non rar ... ) :

cracked.nfo
MilkDrop 1.04.exe

Voila ... et donc : A NE SURTOUT PAS OUVRIR !!!!

Zouky86 · Answer

Merci pour l'infos, je vais faire sa de suite ... en attendant, j'avais lancer un scan avec bitdefender online ... voila se qu'il ma trouver :

BitDefender Online Scanner - Rapport virus en temps réel
  
  
 
Généré à: Thu, Jul 24, 2008 - 21:26:50
 

--------------------------------------------------------------------------------

 
  
  
 
Info d'analyse
  
  
 
Fichiers scannés
 105420
 
Infectés Fichiers
 2
 
  
  
 
 
  
  
 
Virus Détectés
  
  
 
Trojan.Keylog.Hotkeyshook.Y
 2
 
  
  
 Mais bon, sa me parais un peu leger non ???

verni29 · Answer

Commence par supprimer le crack avant de passer Elibagla.

Essaie ensuite en mode sans échec.
Sinon, passe l'outil sous windows.

A+

Zouky86 · Answer

Bingo !!!

Dans Milkdrop 1.04.exe il trouve Bagle.dldr 

Jai pas spécialement le souvenir de l'avoir ouvert mais apparement j'ai pas eu le temps de m'en rendre compte ( j'ai du clicker dessus mais j'ai du croire que rien ne c'été passer ... )

Zouky86 · Answer

Euh ...

Je n'es pas de lecteur c: ... mon windows est installer sur D:

De plus j'ai executer Elibaglla via le dossier My download dans D:/ document de ludo ... sa pose un probleme de pas avoir de c: ???

En tout cas, gros merci pour ces réponse expresse !!! ;)

Zouky86 · Answer

Je comprend pas ... comme tu m'as dis, je l'ai "couper" et coller sur mon bureau ...

J'ai entre-temps supprimer les fichiers Milkdrop v.104.zip ainsi que le dossier ( car je m'ai extrais au cas ou bitdefender regarder pas dans les *.zip ... )

Et la, Elibaglla ne trouve plus rien, et il ne fais pas de raport ( meme avec une recherche dans mon poste de travail il ne trouve pas de Infosat.txt ...

faut il que je reboot le PC et faut il impérativement que j'utilise le mode sans echec ???

verni29 · Answer

Tu vas télécharger ComBoFix sur le bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tu devrais avoir une icone rouge avec une croix.

Lance Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

Zouky86 · Answer

"combofix.exe n'est pas une application win32 valide" ... sniff

verni29 · Answer

Comme je te le disais, Bagle est une infection coriace.
C'est courant que cela arrive.

Tu vas renommer Combofix.exe en combo-fix.exe.
Tu fais un click droit sur l'exécutable sur le bureau, puis choisis renommer.

tape : combo-fix.exe

relance combo-fix.exe et tiens moi au courant.

Zouky86 · Answer

au faite ... quand je lance elibagla ... il me marque sa :

Detectado Gusano Bagle.
Reinicie para Completar la Limpieza

Mais moi et l'espagnole .. :/

Et pour combofix ... le message est le meme ... ceci n'est pas une application win32 valide ...

Effectivement , corriace la bete ... mais je me demande encore comment il a pu passer a travers kaspersky et spybot ( j'ai aussi ccleaner, le pare feu windows etc ... Bref, je me protege comme un dingue et la je me suis fais avoir comme un bleu !!! :( )

verni29 · Answer

Comment il est passé ? avec le crack, évidemment.

As-tu essayé de renommer combofix comme je te l'ai demandé ?

Zouky86 · Answer

oui oui ... meme renommer il en veus pas ...

Zouky86 · Answer

je vois que combofix peut s'ouvrir avec winrar ... connais tu l'executable a lancer ? peut etre que sa pourrai marcher ?

Zouky86 · Answer

bon alors j'ai relancer elibagla il scan mais toujours pas de rapport ( et il trouve rien ) ... j'ai désinstaller aussi avast ( qui au passage, na jamais pu terminer son installation ) car j'avais un message au lancement de elibagla :

ATTENTION
Se aconseja desactivar temporalmente el residente des antivirus,
para que la exploracion sea mas rapida.

Zouky86 · Answer

aussi j'ai un message qui s'affiche aprés un reboot du pc, au demarrage, un fenetre s'ouvre avec marquer : 

"select file to crack" avec un choix de fichier ...

Aussi, je penser a une chose, j'ai un windows de secours sur une partition M: ... un windows installer tout propre ... que j'avais justement mi en secours ... si je lance combo-fix de la ... sa devrai marcher non ???

Zouky86 · Answer

oui, je le fais de suite ... je reviens aprés avoir essayer ( 10 a 15 min je pense ... )

Zouky86 · Answer

bon ... on est pas sorti de l'auberge :

J'ai lancer mon windows tout propre .. tellement propre que je ne l'avais pas encore activé et quand cela a été fais il me dis que le nombre d'utilisation et dépassé ou un truc dans le genre ( c'est le cd de windows d'origine que j'ai eu avec le PC ( qui date donc de 6 ans ) ... aujourd'hui je tourne avec windows LSD 3.5 avec lequel je n'ai jamais eu de soucis depuis 3 ans ( aucun formattage !!! lol ) ...

Bref, et impossible de joindre un gus de microsoft car ils sont fermé ...

J'ai alors tenter le mode sans echec mais le disque dur été toujours allumer et travailler dur ... mais aprés 10 min, y'avais toujours qu'un ecran noir et un tirer en haut a gauche qui clignoter ... alors j'ai rebooter et me revoici en mode normal ... le shmilbique n'a donc pas avancer d'un pouce ... :(

verni29 · Answer

On recommence point par point.

1) Supprime Elibagla et combofix.
Tu les retélecharges et les enregistres sur le bureau.

http://www.zonavirus.com/datos/descargas/95/elibagla.asp
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

2) Télécharge gmer 
http://www2.gmer.net/gmer.zip 

3) Renomme elibagla en mdelk.exe
Et double-clique sur mdel.exe.

Dis moi ce qui se passe.

Zouky86 · Answer

alors j'ai fais ce que tu ma dis ... elibagla a fais son scan, il ne trouve rien et toujours pas de rapport :(

Je commence a désesperer ... sniff

verni29 · Answer

renomme combofix.exe en combo-fix.exe.
Lance l'éxecutable.

Si ça ne marche pas, on passe à gmer.

Zouky86 · Answer

non sa marche toujours pas combofix renommer ... et j'ai remarquer autre chose, 

Si je ferme la fenetre "select file to crack" ... au bout de 5 min, j'ai droit a un bel ecran bleu !!! :(

Bon ba ... passons a gmer alors ^^

verni29 · Answer

dézippe-le (clic droit et extraire sur le bureau )
Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton save.
cela devrait te sauvegarder un fichier .log
Enregistre-le sur le bureau.
* Edite ce rapport dans ta prochaine réponse.

Zouky86 · Answer

Enfin un truc qui arrive a marcher lol ... voici le log :

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-24 23:55:24
Windows 5.1.2600 Service Pack 2


---- Services - GMER 1.0.14 ----

Service  D:\WINDOWS\system32\drivers\srosa.sys (*** hidden *** )                                                                                                                                                                                                [SYSTEM] srosa                                                                                                                       <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Control\MediumCache\{e9468960-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{a799a801-a46d-11d0-a18c-00a02401dcd4}\GLOBAL                                             0
Reg      HKLM\SYSTEM\CurrentControlSet\Control\MediumCache\{e9468961-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{a799a802-a46d-11d0-a18c-00a02401dcd4}\GLOBAL                                             0
Reg      HKLM\SYSTEM\CurrentControlSet\Control\MediumCache\{e9468963-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{a799a802-a46d-11d0-a18c-00a02401dcd4}\GLOBAL                                             1
Reg      HKLM\SYSTEM\CurrentControlSet\Control\MediumCache\{e9468964-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{65e8773d-8f56-11d0-a3b9-00a0c9223196}\GLOBAL                                             0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Media Player Classic\mplayerc.exe                                                                           D:\Program Files\Media Player Classic\mplayerc.exe:*:Enabled:Media Player Classic
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\PeerTV\PeerCast.exe                                                                                         D:\Program Files\PeerTV\PeerCast.exe:*:Enabled:PeerCast
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Logiciels Sebastien GRENIER\Sudoku\sudoku.exe                                                               D:\Program Files\Logiciels Sebastien GRENIER\Sudoku\sudoku.exe:*:Enabled:sudoku
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\FlatOut2\FlatOut2.exe                                                                                       J:\Program Files\FlatOut2\FlatOut2.exe:*:Enabled:FlatOut2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\utorrent\utorrent.exe                                                                                       J:\Program Files\utorrent\utorrent.exe:*:Enabled:?Torrent
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Logitech\Video\Launcher.exe                                                                                 D:\Program Files\Logitech\Video\Launcher.exe:*:Enabled:Logitech QuickCam
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe                                                              D:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe:*:Enabled:MessengerDiscovery Live the Windows Live Messenger addon
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\MessengerDiscovery\Loader.exe                                                                               D:\Program Files\MessengerDiscovery\Loader.exe:*:Enabled:Loader
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\FileZilla\FileZilla.exe                                                                                     D:\Program Files\FileZilla\FileZilla.exe:*:Enabled:FileZilla
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Opera\Opera.exe                                                                                             D:\Program Files\Opera\Opera.exe:*:Enabled:Opera Internet Browser
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Dream Match Tennis Pro\FA.exe                                                                               J:\Program Files\Dream Match Tennis Pro\FA.exe:*:Enabled:FA
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\adslTV\adsltv.exe                                                                                           D:\Program Files\adslTV\adsltv.exe:*:Enabled:adsl TV
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\adslTV\vlc.exe                                                                                              D:\Program Files\adslTV\vlc.exe:*:Enabled:vlc.exe
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Valve\Steam\steam.exe                                                                                       J:\Program Files\Valve\Steam\steam.exe:*:Enabled:Steam
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\EarthView\EarthView.exe                                                                                     D:\Program Files\EarthView\EarthView.exe:*:Enabled:EarthView
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\uTorrent\uTorrent.exe                                                                                       D:\Program Files\uTorrent\uTorrent.exe:*:Enabled:?Torrent
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe                                                                J:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\TVUPlayer\TVUPlayer.exe                                                                                     J:\Program Files\TVUPlayer\TVUPlayer.exe:*:Enabled:TVUPlayer Component
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\SopCast\SopCast.exe                                                                                         J:\Program Files\SopCast\SopCast.exe:*:Enabled:SopCast Main Application
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\SopCast\adv\SopAdver.exe                                                                                    J:\Program Files\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\TVAnts\Tvants.exe                                                                                           J:\Program Files\TVAnts\Tvants.exe:*:Enabled:TVAnts
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Internet Explorer\iexplore.exe                                                                              D:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\JLC's Software\Internet TV\Internet TV.exe                                                                  D:\Program Files\JLC's Software\Internet TV\Internet TV.exe:*:Enabled:Internet TV
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\IEPro\MiniDM.exe                                                                                            D:\Program Files\IEPro\MiniDM.exe:*:Enabled:MiniDM
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\VLC\vlc.exe                                                                                                 D:\Program Files\VLC\vlc.exe:*:Enabled:VLC media player
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files	etrinet\TETRINET.EXE                                                                                       J:\Program Files	etrinet\TETRINET.EXE:*:Enabled:TETRINET
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Java\jre1.6.0_05\bin\javaw.exe                                                                              D:\Program Files\Java\jre1.6.0_05\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\TmNationsForever\TmForever.exe                                                                              J:\Program Files\TmNationsForever\TmForever.exe:*:Enabled:TmForever
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Windows Live\Messenger\msnmsgr.exe                                                                          D:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Windows Live\Messenger\livecall.exe                                                                         D:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@j:\Program Files\Sports Interactive\Football Manager 2008\fm.exe                                                             j:\Program Files\Sports Interactive\Football Manager 2008\fm.exe:*:Disabled:Football Manager 2008
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@j:\Program Files\eMule\emule.exe                                                                                             j:\Program Files\eMule\emule.exe:*:Enabled:eMuleMorphXT
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Ground Control II\gcii.exe                                                                                  J:\Program Files\Ground Control II\gcii.exe:*:Enabled:Ground Control II
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe                                           J:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe:*:Enabled:S2DNG
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                                                                                                                                                     -438549677
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                                                                                                                                                     821074155
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                                                                                                                                                     1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                                                                                                                                       
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                                                                                                                    D:\Program Files\DAEMON Tools\
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                                                                                                                    0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                                                                                                                 0x4D 0x3D 0x1E 0xFF ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                                                                                                                              
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                                                                                                                           0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                                                                                                                        0xB1 0x3F 0x46 0xFA ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                                                                                                                                        
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                                                                                                                  0xF7 0xD0 0x16 0x7B ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                                                                                                                                                        
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                                                                                                                                                  0xDD 0x24 0x30 0x6D ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\srosa                                                                                                                                                                                                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\srosa@Type                                                                                                                                                                                                      1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\srosa@Start                                                                                                                                                                                                     1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\srosa@ErrorControl                                                                                                                                                                                              0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\srosa@ImagePath                                                                                                                                                                                                 \??\D:\WINDOWS\system32\drivers\srosa.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\srosa@DisplayName                                                                                                                                                                                               Megadrv3
Reg      HKLM\SYSTEM\ControlSet002\Control\MediumCache\{e9468960-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{a799a801-a46d-11d0-a18c-00a02401dcd4}\GLOBAL                                                 0
Reg      HKLM\SYSTEM\ControlSet002\Control\MediumCache\{e9468961-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{a799a802-a46d-11d0-a18c-00a02401dcd4}\GLOBAL                                                 0
Reg      HKLM\SYSTEM\ControlSet002\Control\MediumCache\{e9468963-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{a799a802-a46d-11d0-a18c-00a02401dcd4}\GLOBAL                                                 1
Reg      HKLM\SYSTEM\ControlSet002\Control\MediumCache\{e9468964-d0bf-11d1-beaf-00a0c9b03baa}-0-0@\?\PCI#VEN_109E&DEV_036E&SUBSYS_13EB0070&REV_11#3&61aaa01&0&58#{65e8773d-8f56-11d0-a3b9-00a0c9223196}\GLOBAL                                                 0
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Media Player Classic\mplayerc.exe                                                                               D:\Program Files\Media Player Classic\mplayerc.exe:*:Enabled:Media Player Classic
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\PeerTV\PeerCast.exe                                                                                             D:\Program Files\PeerTV\PeerCast.exe:*:Enabled:PeerCast
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Logiciels Sebastien GRENIER\Sudoku\sudoku.exe                                                                   D:\Program Files\Logiciels Sebastien GRENIER\Sudoku\sudoku.exe:*:Enabled:sudoku
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\FlatOut2\FlatOut2.exe                                                                                           J:\Program Files\FlatOut2\FlatOut2.exe:*:Enabled:FlatOut2
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\utorrent\utorrent.exe                                                                                           J:\Program Files\utorrent\utorrent.exe:*:Enabled:?Torrent
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Logitech\Video\Launcher.exe                                                                                     D:\Program Files\Logitech\Video\Launcher.exe:*:Enabled:Logitech QuickCam
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe                                                                  D:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe:*:Enabled:MessengerDiscovery Live the Windows Live Messenger addon
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\MessengerDiscovery\Loader.exe                                                                                   D:\Program Files\MessengerDiscovery\Loader.exe:*:Enabled:Loader
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\FileZilla\FileZilla.exe                                                                                         D:\Program Files\FileZilla\FileZilla.exe:*:Enabled:FileZilla
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Opera\Opera.exe                                                                                                 D:\Program Files\Opera\Opera.exe:*:Enabled:Opera Internet Browser
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Dream Match Tennis Pro\FA.exe                                                                                   J:\Program Files\Dream Match Tennis Pro\FA.exe:*:Enabled:FA
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\adslTV\adsltv.exe                                                                                               D:\Program Files\adslTV\adsltv.exe:*:Enabled:adsl TV
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\adslTV\vlc.exe                                                                                                  D:\Program Files\adslTV\vlc.exe:*:Enabled:vlc.exe
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Valve\Steam\steam.exe                                                                                           J:\Program Files\Valve\Steam\steam.exe:*:Enabled:Steam
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\EarthView\EarthView.exe                                                                                         D:\Program Files\EarthView\EarthView.exe:*:Enabled:EarthView
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\uTorrent\uTorrent.exe                                                                                           D:\Program Files\uTorrent\uTorrent.exe:*:Enabled:?Torrent
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe                                                                    J:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\TVUPlayer\TVUPlayer.exe                                                                                         J:\Program Files\TVUPlayer\TVUPlayer.exe:*:Enabled:TVUPlayer Component
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\SopCast\SopCast.exe                                                                                             J:\Program Files\SopCast\SopCast.exe:*:Enabled:SopCast Main Application
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\SopCast\adv\SopAdver.exe                                                                                        J:\Program Files\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\TVAnts\Tvants.exe                                                                                               J:\Program Files\TVAnts\Tvants.exe:*:Enabled:TVAnts
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Internet Explorer\iexplore.exe                                                                                  D:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\JLC's Software\Internet TV\Internet TV.exe                                                                      D:\Program Files\JLC's Software\Internet TV\Internet TV.exe:*:Enabled:Internet TV
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\IEPro\MiniDM.exe                                                                                                D:\Program Files\IEPro\MiniDM.exe:*:Enabled:MiniDM
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\VLC\vlc.exe                                                                                                     D:\Program Files\VLC\vlc.exe:*:Enabled:VLC media player
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files	etrinet\TETRINET.EXE                                                                                           J:\Program Files	etrinet\TETRINET.EXE:*:Enabled:TETRINET
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Java\jre1.6.0_05\bin\javaw.exe                                                                                  D:\Program Files\Java\jre1.6.0_05\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\TmNationsForever\TmForever.exe                                                                                  J:\Program Files\TmNationsForever\TmForever.exe:*:Enabled:TmForever
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Windows Live\Messenger\msnmsgr.exe                                                                              D:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@D:\Program Files\Windows Live\Messenger\livecall.exe                                                                             D:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@j:\Program Files\Sports Interactive\Football Manager 2008\fm.exe                                                                 j:\Program Files\Sports Interactive\Football Manager 2008\fm.exe:*:Disabled:Football Manager 2008
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@j:\Program Files\eMule\emule.exe                                                                                                 j:\Program Files\eMule\emule.exe:*:Enabled:eMuleMorphXT
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Ground Control II\gcii.exe                                                                                      J:\Program Files\Ground Control II\gcii.exe:*:Enabled:Ground Control II
Reg      HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List@J:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe                                               J:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe:*:Enabled:S2DNG
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                                                                                                                                           
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                                                                                                                                        D:\Program Files\DAEMON Tools\
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                                                                                                                                        0
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                                                                                                                                     0x4D 0x3D 0x1E 0xFF ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                                                                                                                                                  
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                                                                                                                                               0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                                                                                                                                            0xB1 0x3F 0x46 0xFA ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                                                                                                                                            
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                                                                                                                                      0xF7 0xD0 0x16 0x7B ...
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                                                                                                                                                            
Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                                                                                                                                                      0xDD 0x24 0x30 0x6D ...
Reg      HKLM\SYSTEM\ControlSet002\Services\srosa                                                                                                                                                                                                               
Reg      HKLM\SYSTEM\ControlSet002\Services\srosa@Type                                                                                                                                                                                                          1
Reg      HKLM\SYSTEM\ControlSet002\Services\srosa@Start                                                                                                                                                                                                         1
Reg      HKLM\SYSTEM\ControlSet002\Services\srosa@ErrorControl                                                                                                                                                                                                  0
Reg      HKLM\SYSTEM\ControlSet002\Services\srosa@ImagePath                                                                                                                                                                                                     \??\D:\WINDOWS\system32\drivers\srosa.sys
Reg      HKLM\SYSTEM\ControlSet002\Services\srosa@DisplayName                                                                                                                                                                                                   Megadrv3
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\App_LocalResources\error.aspx.resx                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Permissions\App_LocalResources\createPermission.aspx.resx                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Providers\App_LocalResources\providerList.ascx.resx                                                                       1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\App_GlobalResources\AppConfigCommon.resx                                                                                  1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Roles\App_LocalResources\manageSingleRole.aspx.resx                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\App_LocalResources\setUpAuthentication.aspx.resx                                                                 1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Users\App_LocalResources\editUser.aspx.resx                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Wizard\App_LocalResources\wizardAddUser.ascx.resx                                                                1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.EnterpriseServices.dll                                                                                                                  1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\App_Data\GroupedProviders.xml                                                                                             1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles
avigationBar.ascx                                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\AppConfig\SmtpSettings.aspx                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\App_Code\WebAdminPage.cs                                                                                                  1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\WebAdminHelp.aspx                                                                                                         1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\ImagesequiredBang.gif                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Permissions\managePermissions.aspx                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Providers\ProviderList.ascx                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Roles\manageSingleRole.aspx                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\security.aspx                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Users\addUser.aspx                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ASP.NETWebAdminFiles\Security\Wizard\wizardAddUser.ascx                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\alinkui.dll                                                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\alink.dll                                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfdll.dll                                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\system32\dfshim.dll                                                                                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Deployment.dll                                                                                                                          1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe                                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\gacutil.exe.config                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ieexec.exe.config                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exe.config                                                                                                                                 1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\cscompui.dll                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cscompmgd.dll                                                                                                                                  1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exe                                                                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cscomp.dll                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\cvtres.exe                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\1033\CvtResUI.dll                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.JScript.dll                                                                                                                          1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\jsc.exe                                                                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild.rsp                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Common.Tasks                                                                                                                         1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.CSharp.targets                                                                                                                       1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Engine.dll                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Framework.dll                                                                                                                  1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Tasks.dll                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.Utilities.dll                                                                                                                  1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild\Microsoft.Build.Commontypes.xsd                                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild\Microsoft.Build.Core.xsd                                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft.Build.xsd                                                                                                                            1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\fusion.dll                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsn.dll                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\peverify.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\Program Files\Internet Explorer\MUI\0409\mscorier.dll                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Accessibility.dll                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AdoNetDiag.dll                                                                                                                                 1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe                                                                                                                                  1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RedistList\FrameworkList.xml                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CasPol.exe                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ilasm.exe                                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CLR.mof                                                                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.EnterpriseServices.Thunk.dll                                                                                                            1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Security.dll                                                                                                                            1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CORPerfMonExt.dll                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CORPerfMonSymbols.h                                                                                                                            1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Culture.dll                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CustomMarshalers.dll                                                                                                                           1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\_dataperfcounters_shared12_neutral.h                                                                                                           1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll                                                                                                                           1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\_NetworkingPerfCounters.h                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Configuration.Install.dll                                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.DirectoryServices.dll                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.DirectoryServices.Protocols.dll                                                                                                         1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Drawing.Design.dll                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.ServiceProcess.dll                                                                                                                      1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.dll                                                                                                                                 1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.RegularExpressions.dll                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Web.Services.dll                                                                                                                        1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Windows.Forms.dll                                                                                                                       1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.XML.dll                                                                                                                                 1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Data.dll                                                                                                                                1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\System.Design.dll                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExec.exe                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExecRemote.dll                                                                                                                               1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEHost.dll                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IIEHost.dll                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe                                                                                                                                1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtilLib.dll                                                                                                                             1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ISymWrapper.dll                                                                                                                                1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscordacwks.dll                                                                                                                                1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscordbc.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscordbi.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorie.dll                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorld.dll                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorlib.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorpe.dll                                                                                                                                    1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsec.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvc.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscortim.dll                                                                                                                                   1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework
etfxsbs12.hkf                                                                                                                                            1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727
gen.exe                                                                                                                                       1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727
ormalization.dll                                                                                                                              1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\PerfCounter.dll                                                                                                                                1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe                                                                                                                                     1
Reg      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shar

verni29 · Answer

Tu relances Gmer.
Cette fois-ci, tu choisis l'onglet "Processes"

Sauvegarde le rapport et poste le moi.

Zouky86 · Answer

PS : ce site donne des indication interressante :

http://www.malekal.com//W32.Beagle.KF_Trojan.Tooso.R.php

Notament qu'il faudrai impérativement avoir un c:/ pour elibagla ( est ce que renomer une de mes partition provisoirement avec cette lettre peut résoudre le probleme ??? )

Est ce que le logiciel qu'il propose ( Beagled de sUBs ) vaut le coup ?

verni29 · Answer

C'est comboFix.

On continue avec gmer.

Zouky86 · Answer

j'ai pas d'option "Scan" dans processe ... :(

Zouky86 · Answer

oui ok .. mais une fois dans processe je fais quoi ? j'ai pas de bouton "scan" ...

Zouky86 · Answer

aucun des 3 ... ( je n'ai pas fermer la fenetre du virus "select file to crack" car sinon ecran bleu aprés 5 min ) ... en revenche , en rouge j'ai un truc marquer : "hidden process" PID 1848

Zouky86 · Answer

bon alors soucis ( décidement, je suis tomber sur un dur a cuire !!! :( ),

Je n'ai aucun des 3 dans system32 ... de plus impossible de trouver " afficher les dossier cacher" ... j'utilise parfois cette fonction donc je sais comment faire mais la ... je trouve pas ... dans affichage y'a pas ...

Zouky86 · Answer

faut que je tape cest ligne de d:\ ou de n'importe ou ? ( la en locurence je suis dans d:\documents and settings\Trex\ ... ?

Zouky86 · Answer

quand je tape la 1ere ligne j'ai : 

"D:\windows\gner.dll est introuvable" suivie de "creatfile D:\windows\system32\drivers\gmer.sys : le fichier spécifier est introuvable" ...

PAS DE BOLLE JUSQUE LA QUAND MEME !!! :( lol

Zouky86 · Answer

et quand je tape la commande "gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srosa"" j'ai droit a :

la meme chose que ci-dessus plus :

Warning !!!

loaded gmer's driver version is uncompatible with the currently running GMER application. You need to stop the driver with the command "net stop gmer" or restart your computer.

:(

verni29 · Answer

Tu vas essayer avec ce lien de téléchargement.
http://www.gmer.net#files

Dézippe le sur le bureau et recommence la manip avec la fenêtre de commnades ms-dos ( cmd ).

On avise après.

Zouky86 · Answer

sa marche pas mieux ... je crois que pour ce soir, je vais arreter la ... j'embauche a 6h du mat ... mais je serai la dès 14h ... je ne sais pas si tu sera la mais bon, sa m'embete bien cette histoire !!! :(

Zouky86 · Answer

meme soucis ... je me demande si il faudrai pas que je renomme mon D: en C: ... mais je crains que sa ne mette le bazard ...

Zouky86 · Answer

ok, a demain, et merci de ton aide et de ta disponibilité ... car la ... je suis a cours de solution et je souhaite que le formatage ne sois que l'ultime recours ( meme si je ne formaterai que la partition D: qui ne contient que windows, mais comme tu le sais ... meme si on a les autres logiciel ailleur, faut tout réinstaller sinon sa marche pas !!! a moin que ... tu ne connaisse une manip miracle !!! lol ;) )...

Mais bon, c'est pas un p'tit bout de programme qui va faire sa loi !!! a demain !!! ;)

Utilisateur anonyme · Answer

Salut

a ton retour demain 

fais ceci :


Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


ensuite :


Télécharge sur ton bureau DSS (ex Comboscan) de Deckard: 

http://deckard.geekstogo.com/dss.exe


(choisis enregistrer, puis Bureau comme emplacement) 

Ferme toutes les applications en cours. 

Double-clic sur DSS.exe pour lancer l'outil. 

Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK. 

A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK. 

Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse. 
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse. 

Les rapports sont ici : 
(!) C:\Deckard\System Scanner\main.txt 
(!) C:\Deckard\System Scanner\extra.txt 

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Zouky86 · Answer

coucou, bon, deja j'ai résolu un soucis , celui du rapport de elibagle, j'ai en faite renomer la lettre de lecteur prise en compte quand je met ma clé usb ... j'ai renomer temporairement celle ci en c: le temps de l'analyse et voici le triste résultat :


	  Fri Jul 25 13:32:57 2008
EliBagle v11.62  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Fri Jul 25 13:33:01 2008
EliBagle v11.62  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   4218
Nº Total de Ficheros:      42398
Nº de Ficheros Analizados: 7487
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Et oui, il ne me trouve rien sur ma partition contenant windows ...

Zouky86 · Answer

je fais actuellement ce que tu me demande chiquitine29 ( en ayant pris soin de reparametrer G: en C: ) ...

Mais une question me taraude ... au lancement de windows, un scan me demande d'etre effectuer sur un de mes disque avec une recommandation "tres importante" ... dois je le faire ? n'est ce pas le virus qui agis ou est ce simplement le faite que mon ordi est planter 2 / 3 fois avec un belle ecran bleu depuis l'apparition du dis virus ???

Zouky86 · Answer

PS : je viens de voir qu'en réinstallant combofix ... celui ci marche a nouveau sans etre renommer ... je me demande si tout c logiciel n'ont pas tout simplement besoin d'une partition C: absolument ... bref ... j'attend la fin du scan de Toolscleaner2 ... ;)

Zouky86 · Answer

Rapport avec toolscleaner2 :

-->- Recherche: 

D:\Qoobox: trouvé !
D:\Documents and Settings\TRex\Bureau\Gmer.exe: trouvé !
D:\WINDOWS\Gmer.exe: trouvé !

Utilisateur anonyme · Answer

supprime et passe a la suite

Zouky86 · Answer

alors, le main.txt avec dss :

Deckard's System Scanner v20071014.68
Run by TRex on 2008-07-25 13:56:36
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 2 Restore Point(s) --
2: 2008-07-25 11:56:41 UTC - RP2 - Deckard's System Scanner Restore Point
1: 2008-07-25 11:28:31 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-07-25 13:57:53
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.5730.13)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32\FTRTSVC.exe
D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
D:\WINDOWS\system32
vsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Raxco\PerfectDisk\PDSched.exe
D:\Program Files\RocketDock\RocketDock.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe
D:\Program Files\Rainmeter\Rainmeter.exe
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Program Files\Opera\opera.exe
D:\WINDOWS\system32
otepad.exe
D:\Documents and Settings\TRex\Bureau\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://D:\Program%20Files\IEPro\IEProRs.dll/easyhome.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - D:\Program Files\IEPro\IEPro.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PowerStrip] d:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [RocketDock] "D:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "D:\DOCUME~1\TRex\LOCALS~1\Temp\E_S14A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\Program Files\NVIDIA Corporation
Tune
TuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O4 - Startup: FSL Launcher.lnk = D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe
O4 - Startup: Rainmeter.lnk = ?
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Program Files\IEPro\IEPro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Program Files\IEPro\IEPro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O15 - ProtocolDefaults: Unknown 'about' protocol is in Restricted Zone (HKLM)
O15 - ProtocolDefaults: Unknown 'about:' protocol is in Restricted Zone (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{152C3701-2F93-448C-99DD-64EED6393570}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{669935EA-0030-4FE9-87D4-6E3E0E31090C}: NameServer = 203.223.153.21,203.223.145.179
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O20 - AppInit_DLLs: MsgPlusLoader.dll
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - D:\WINDOWS\system32\shell32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - D:\WINDOWS\system32\shell32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - D:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - D:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - Fichier "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /Service" n'existe pas.
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\system32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - Fichier "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /Service" n'existe pas.
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe

Utilisateur anonyme · Answer

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : D:\WINDOWS\system32\CF30129.exe 
Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Zouky86 · Answer

voila ce qu'il me dit :

Fichier CF30129.exe reçu le 2008.07.25 14:12:23 (CET)
Situation actuelle:    terminé 
Résultat: 0/35 (0%)

File size: 428032 bytes
MD5...: 6985b3a7b3393e98428db8dc49f798bb
SHA1..: d5d1a967491971ec534f8c7d62d6eadecc72a097
SHA256: fed21d749818a87edc6494013d22a7fcecb823eea2503b37583bf331f2f6ad39
SHA512: 11211ab8d7ae33bd71e9aabdf50273fb2a502cf36246caf7935312e3cdaa17d3
5101878ef63dea7c1ee6f7fb074f318d61f0e253980ea85e238abac8818e07f0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4ad05056
timedatestamp.....: 0x41107ebe (Wed Aug 04 06:14:22 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1f5e0 0x1f600 6.59 9c3b448d9716ad53b18497ee45c59ce6
.data 0x21000 0x1ca24 0x1ca00 0.17 f475a5d8db410678faa8b459e2a5fdb4
.rsrc 0x3e000 0x2c210 0x2c400 4.48 2e792bd9e347ae471ab8d17223902924

( 3 imports ) 
> msvcrt.dll: __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __initenv, _cexit, _XcptFilter, _exit, _c_exit, calloc, _wcslwr, qsort, _vsnwprintf, wcsstr, _dup2, _dup, _open_osfhandle, _close, swscanf, _ultoa, _pipe, _seh_longjmp_unwind, _setmode, wcsncmp, iswxdigit, fflush, exit, _wtol, time, srand, __set_app_type, wcsrchr, malloc, free, wcstoul, _errno, iswalpha, printf, rand, swprintf, _iob, fprintf, towlower, realloc, setlocale, _snwprintf, wcscat, _wcsupr, wcsncpy, _wpopen, fgets, _pclose, memmove, wcschr, iswspace, _tell, longjmp, wcscmp, _wcsnicmp, _wcsicmp, wcstol, iswdigit, _getch, _get_osfhandle, _controlfp, _setjmp3, _except_handler3, wcscpy, wcslen, wcsspn, towupper
> KERNEL32.dll: FlushConsoleInputBuffer, LoadLibraryA, InterlockedExchange, FreeLibrary, LocalAlloc, GetVDMCurrentDirectories, CmdBatNotification, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetThreadLocale, GetDiskFreeSpaceExW, CompareFileTime, RemoveDirectoryW, GetCurrentDirectoryW, SetCurrentDirectoryW, TerminateProcess, WaitForSingleObject, GetExitCodeProcess, CopyFileW, SetFileAttributesW, DeleteFileW, SetFileTime, CreateDirectoryW, FillConsoleOutputAttribute, SetConsoleTextAttribute, ScrollConsoleScreenBufferW, FormatMessageW, DuplicateHandle, FlushFileBuffers, HeapReAlloc, HeapSize, GetFileAttributesExW, LocalFree, GetDriveTypeW, InitializeCriticalSection, SetConsoleCtrlHandler, GetWindowsDirectoryW, GetConsoleTitleW, GetModuleFileNameW, GetVersion, EnterCriticalSection, LeaveCriticalSection, ExpandEnvironmentStringsW, SearchPathW, WriteFile, GetVolumeInformationW, SetLastError, MoveFileW, SetConsoleTitleW, MoveFileExW, GetBinaryTypeW, GetFileAttributesW, GetCurrentThreadId, CreateProcessW, LoadLibraryW, ReadProcessMemory, SetErrorMode, GetConsoleMode, SetConsoleMode, VirtualAlloc, VirtualFree, SetEnvironmentVariableW, GetEnvironmentVariableW, GetCommandLineW, GetEnvironmentStringsW, GetLocalTime, GetTimeFormatW, FileTimeToLocalFileTime, GetDateFormatW, GetLastError, CloseHandle, SetThreadLocale, GetProcAddress, GetModuleHandleW, SetFilePointer, lstrcmpW, lstrcmpiW, HeapAlloc, GetProcessHeap, HeapFree, MultiByteToWideChar, ReadFile, WriteConsoleW, FillConsoleOutputCharacterW, SetConsoleCursorPosition, ReadConsoleW, GetConsoleScreenBufferInfo, GetStdHandle, GetFileType, VirtualQuery, RaiseException, GetCPInfo, GetConsoleOutputCP, WideCharToMultiByte, GetFileSize, CreateFileW, FindClose, FindNextFileW, FindFirstFileW, GetFullPathNameW, GetUserDefaultLCID, GetLocaleInfoW, SetLocalTime, SystemTimeToFileTime, GetSystemTime, FileTimeToSystemTime
> USER32.dll: GetUserObjectInformationW, GetThreadDesktop, MessageBeep, GetProcessWindowStation

( 0 exports )

verni29 · Answer

Bonjour, Chiquitine29, Zouky86.

Je te laisse la main, Chiquitine29.

Une info  :

- sUBs a sorti un nouvel outil Beagled qui supprime les variantes Bagle :
http://download.bleepingcomputer.com/sUBs/Beagled.exe
( info pour zouky86 : le lien que tu avais trouvé faisait télécharger Combofix.exe et non beagled.exe )

- pour vérification, blacklight.

Elibagla est aveugle. C'est très étrange.

A+

Utilisateur anonyme · Answer

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 

Avant de le telecharger renome le en Retire et enregistre le sur le bureau 

double-clique sur Retire.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la liste qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

D:\WINDOWS\system32\drivers\mdelk.exe 
D:\WINDOWS\system32\drivers\downld 
D:\WINDOWS\eReg.dat 


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Zouky86 · Answer

D:\WINDOWS\system32\drivers\mdelk.exe moved successfully.
D:\WINDOWS\system32\drivers\downld moved successfully.
D:\WINDOWS\eReg.dat moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07252008_142041

Il ne ma pas demander de redémarer ...

PS : aussi, je n'ai pas la fenetre qui me marque "choose the file to crack" au lancement du PC ... et pour l'instant pas de plantage ... ;) ( je touche du bois )

Utilisateur anonyme · Answer

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


Avant de le telecharger renome le en TRex et enregistre le sur le bureau 

-> Double clique sur TRex.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Zouky86 · Answer

oups j'ai été un peu vite ... je n'ai pas suivie tes procedure ... je recommence en faisant comme tu m'a dis ... en attendant voici le rapport obtenue : ComboFix 08-07-24.3 - TRex 2008-07-25 14:30:07.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.605 [GMT 2:00] Endroit: D:\Documents and Settings\TRex\Bureau\Trex.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . D:\WINDOWS\system32\drivers\downld D:\WINDOWS\system32\MSINET.oca . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SROSA -------\Legacy_WINDOWS_LOG ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))))))) . 2008-07-25 14:33 . 2008-07-25 14:33 d-------- D:\WINDOWS\system32\drivers\downld 2008-07-25 14:20 . 2008-07-25 14:20 d-------- D:\_OTMoveIt 2008-07-25 13:56 . 2008-07-25 13:56 d-------- D:\Deckard 2008-07-25 13:48 . 2008-07-25 13:48 d-------- D:\ComboFix 2008-07-24 19:51 . 2008-07-24 21:26 d-------- D:\WINDOWS\BDOSCAN8 2008-07-24 19:32 . 2008-07-24 19:32 d-------- D:\Program Files\Alwil Software 2008-07-24 19:20 . 2008-07-24 19:20 d-------- D:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-07-10 19:23 . 2008-07-10 19:23 d-------- D:\Documents and Settings\TRex\Application Data\EPSON 2008-07-03 21:24 . 2008-07-03 21:27 d-------- D:\WINDOWS\system32\Adobe 2008-07-03 17:19 . 2008-07-03 17:26 d-------- D:\Program Files\PC Health Optimizer Free Edition 2008-07-03 17:19 . 2008-05-07 17:12 951,104 --a------ D:\WINDOWS\system32 ssOfficeMenu1d.ocx 2008-07-03 17:19 . 2008-05-07 17:12 865,088 --a------ D:\WINDOWS\system32\ExplorerBarXP2_vba.ocx 2008-07-03 17:19 . 2008-05-07 17:12 865,080 --a------ D:\WINDOWS\system32\ExplorerBarXP2.ocx 2008-07-03 17:19 . 2008-05-07 17:12 851,968 --a------ D:\WINDOWS\system32\ExplorerBarXP2Demo.ocx 2008-07-03 17:19 . 2008-05-07 17:12 515,584 --a------ D:\WINDOWS\system32\RetinaTSpinEditXControl1.ocx 2008-07-03 17:19 . 2008-05-07 17:12 312,128 --a------ D:\WINDOWS\system32 ssPopupNotify.ocx 2008-07-03 17:19 . 2008-05-07 17:12 143,360 --a------ D:\WINDOWS\system32\LVbuttons.ocx 2008-07-03 17:19 . 2008-05-07 17:12 94,208 --a------ D:\WINDOWS\system32\vbalIml6.ocx 2008-07-03 17:19 . 2008-05-07 17:12 65,536 --a------ D:\WINDOWS\system32\MBSplit.ocx 2008-07-02 21:43 . 2008-07-02 21:43 d-------- D:\Program Files\Foxit Software 2008-07-01 21:53 . 2008-07-01 21:53 54,156 --ah----- D:\WINDOWS\QTFont.qfn 2008-07-01 21:53 . 2008-07-01 21:53 1,409 --a------ D:\WINDOWS\QTFont.for 2008-06-28 17:31 . 2008-06-28 17:31 d-------- D:\Program Files\Mp3tag 2008-06-28 17:31 . 2008-06-28 17:31 d-------- D:\Documents and Settings\TRex\Application Data\Mp3tag 2008-06-27 12:45 . 2006-09-22 10:17 40 --a------ D:\WINDOWS\RUNAWAY2.INI 2008-06-27 12:28 . 2008-06-27 12:28 278,728 --a------ D:\WINDOWS\system32\drivers\atksgt.sys 2008-06-27 12:28 . 2008-06-27 12:28 25,416 --a------ D:\WINDOWS\system32\drivers\lirsgt.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-25 12:24 --------- d-----w D:\Program Files\Spybot - Search & Destroy 2008-07-25 12:24 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-07-24 18:14 --------- d-----w D:\Program Files\RocketDock 2008-07-24 17:19 --------- d-----w D:\Program Files\Kaspersky Lab 2008-07-24 17:15 --------- d-----w D:\Program Files\CCleaner 2008-07-24 17:10 3,318,452 --sha-w D:\WINDOWS\system32\drivers\fidbox.idx 2008-07-24 17:10 3,055,136 --sha-w D:\WINDOWS\system32\drivers\fidbox2.dat 2008-07-24 17:10 290,240 --sha-w D:\WINDOWS\system32\drivers\fidbox2.idx 2008-07-24 17:10 247,283,488 --sha-w D:\WINDOWS\system32\drivers\fidbox.dat 2008-07-22 20:54 --------- d-s---w D:\Program Files\HLSW 2008-07-22 18:34 --------- d-----w D:\Documents and Settings\All Users\Application Data\Google Updater 2008-07-15 15:13 --------- d-----w D:\Program Files\Opera 2008-07-03 15:26 --------- d-----w D:\Documents and Settings\TRex\Application Data\GlarySoft 2008-07-03 15:25 --------- d-----w D:\Program Files\Glary Utilities 2008-07-03 11:16 --------- d-----w D:\Program Files\adslTV 2008-07-02 19:44 --------- d-----w D:\Program Files\Fichiers communs\Adobe 2008-06-29 14:01 --------- d--h--w D:\Program Files\InstallShield Installation Information 2008-06-24 22:03 --------- d-----w D:\Program Files\DivX 2008-06-23 20:34 --------- d-----w D:\Documents and Settings\TRex\Application Data\uTorrent 2008-06-16 18:58 --------- d-----w D:\Documents and Settings\All Users\Application Data\UDL 2008-06-16 18:57 --------- d-----w D:\Program Files\EPSON 2008-06-16 18:55 --------- d-----w D:\Documents and Settings\TRex\Application Data\InstallShield 2008-06-16 18:53 --------- d-----w D:\Documents and Settings\All Users\Application Data\EPSON 2008-06-16 17:52 --------- d-----w D:\Program Files\SigmaTel 2007-02-04 10:58 2,096 ----a-w D:\Documents and Settings\TRex\Application Data\waver_2.95.dat 2001-10-05 10:53 21,866 ----a-w D:\Program Files\Fichiers communs ppupd2k.dll . ------- Sigcheck ------- 2004-09-29 20:47 660992 61cdcab341ade3482101da90fcc793ac D:\WINDOWS\$hf_mig$\KB834707\SP2QFE\wininet.dll 2005-01-27 19:12 662016 66a10b98f18fd804236ab2d90301de04 D:\WINDOWS\$hf_mig$\KB867282\SP2QFE\wininet.dll 2005-05-02 22:58 663040 0996b57cc2abcb271872296e98a18db2 D:\WINDOWS\$hf_mig$\KB883939\SP2QFE\wininet.dll 2005-03-10 09:48 662016 06ad0b0f43286cd50af283762eb56763 D:\WINDOWS\$hf_mig$\KB890923\SP2QFE\wininet.dll 2005-09-03 02:08 664576 031ca1310e4cb23e5a4f747d763d0b49 D:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll 2005-07-03 04:10 663552 39846b1ac2b99349272ee6e075c3b8af D:\WINDOWS\$hf_mig$\KB896727\SP2QFE\wininet.dll 2005-07-03 04:16 662528 e994e704303f07f331b03ee9ed6d9e2d D:\WINDOWS\$NtUninstallKB896688$\wininet.dll 2005-05-02 22:57 662016 ffe3e6fb8d52955a2de4c6cc765b02bc D:\WINDOWS\$NtUninstallKB896727$\wininet.dll 2005-09-03 02:06 662528 a2dd7ec3ac1ead13f65e2898fcabbd1a D:\WINDOWS\$NtUninstallKB912812$\wininet.dll 2006-03-04 06:00 667648 241dbc4c2714b2f39afded49459ed420 D:\WINDOWS\ie7\wininet.dll 2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada D:\WINDOWS\system32\wininet.dll 2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 D:\WINDOWS\system32\dllcache\wininet.dll 2005-06-28 18:56 359808 77c0c5e7d6cfe2052b8cf28b8722f528 D:\WINDOWS\system32\drivers cpip.sys 2005-03-02 20:13 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a D:\WINDOWS\$hf_mig$\KB890859\SP2QFE toskrnl.exe 2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c D:\WINDOWS\Driver Cache\i386 toskrnl.exe 2005-06-15 23:00 2321152 bebb29fbd9c14448a7bc12204a362d9e D:\WINDOWS\system32 toskrnl.exe 2005-06-15 23:01 978432 36ba2d42de2f169826885657b053dc43 D:\WINDOWS\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RocketDock"="D:\Program Files\RocketDock\RocketDock.exe" [2007-09-02 14:58 495616] "ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-19 18:09 15360] "NVIDIA nTune"="D:\Program Files\NVIDIA Corporation Tune TuneCmd.exe" [2007-04-04 15:20 81920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-11-12 07:51 8523776] "PowerStrip"="d:\program files\powerstrip\pstrip.exe" [2005-05-15 03:03 675840] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=MsgPlusLoader.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.3iv2"= 3ivxVfWCodec.dll "msacm.divxa32"= divxa32.acm "VIDC.HFYU"= huffyuv.dll "VIDC.VP31"= vp31vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal ga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "LClock"=D:\Program Files\LClock\lclock.exe "SpybotSD TeaTimer"=D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "NvCplDaemon"=RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup "AVPCC"=Fichier "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait" n'existe pas. "NvMediaCenter"=RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit "PowerStrip"=d:\program files\powerstrip\pstrip.exe "kav"="D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "J:\Program Files\Valve\Steam\SteamApps\ludo86\counter-strike source\hl2.exe"= "D:\WINDOWS\system32\dpvsetup.exe"= "D:\Program Files\HLSW\hlsw.exe"= "D:\WINDOWS\system32\svchost.exe"= "J:\Program Files\Ubisoft\Faces of War\FoWDServer\fow.ds.exe"= "J:\Program Files\Ubisoft\Faces of War\facesofwar.exe"= "J:\Program Files\Ubisoft\Faces of War\FoWDServer\FOW.DS.Admin\fow.dsa.exe"= "J:\Program Files\KONAMI\Pro Evolution Soccer 6\PES6.exe"= "D:\Program Files\Media Player Classic\mplayerc.exe"= "D:\Program Files\Logiciels Sebastien GRENIER\Sudoku\sudoku.exe"= "J:\Program Files\FlatOut2\FlatOut2.exe"= "J:\Program Files\utorrent\utorrent.exe"= "D:\Program Files\Logitech\Video\Launcher.exe"= "D:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe"= "D:\Program Files\MessengerDiscovery\Loader.exe"= "D:\Program Files\FileZilla\FileZilla.exe"= "D:\Program Files\Opera\Opera.exe"= "J:\Program Files\Dream Match Tennis Pro\FA.exe"= "D:\Program Files\adslTV\adsltv.exe"= "D:\Program Files\adslTV\vlc.exe"= "J:\Program Files\Valve\Steam\steam.exe"= "D:\Program Files\EarthView\EarthView.exe"= "D:\Program Files\uTorrent\uTorrent.exe"= "J:\Program Files\TVUPlayer\TVUPlayer.exe"= "J:\Program Files\SopCast\SopCast.exe"= "J:\Program Files\SopCast\adv\SopAdver.exe"= "J:\Program Files\TVAnts\Tvants.exe"= "D:\Program Files\JLC's Software\Internet TV\Internet TV.exe"= "D:\Program Files\IEPro\MiniDM.exe"= "D:\Program Files\VLC\vlc.exe"= "J:\Program Files\tetrinet\TETRINET.EXE"= "D:\Program Files\Java\jre1.6.0_05\bin\javaw.exe"= "J:\Program Files\TmNationsForever\TmForever.exe"= "D:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "D:\Program Files\Windows Live\Messenger\livecall.exe"= "j:\Program Files\eMule\emule.exe"= "J:\Program Files\Ground Control II\gcii.exe"= "J:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe"= R0 Defrag32b;Defrag32Boot;D:\WINDOWS\system32\drivers\Defrag32b.sys [2005-11-22 12:33] R0 viasraid;viasraid;D:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 14:22] R1 lusbaudio;Microphone USB Logitech;D:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-18 00:05] R2 Defrag32;Defrag32;D:\WINDOWS\system32\drivers\Defrag32.sys [2005-11-22 12:33] R2 PDSched;PDScheduler;D:\Program Files\Raxco\PerfectDisk\PDSched.exe [2005-11-29 12:16] R2 PStrip;PSTRIP;D:\WINDOWS\system32\DRIVERS\PSTRIP.SYS [2004-11-09 23:32] R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;D:\WINDOWS\system32\drivers\HCWBT8XX.sys [2003-03-24 14:18] R3 QCEmerald;QuickCam Web Logitech;D:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-18 00:05] S3 TPP200;USB Storage Adapter V2 (TPP);D:\WINDOWS\system32\DRIVERS\TPP200.SYS [2001-10-05 12:54] S4 AVPCC;AVP Control Centre Service;Fichier c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe [] S4 KAVMonitorService;KAV Monitor Service;Fichier c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe [] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-07-03 15:25:49 D:\WINDOWS\Tasks\GlaryInitialize.job" - D:\Program Files\Glary Utilities\initialize.exe . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = res://D:\Program%20Files\IEPro\IEProRs.dll/easyhome.html R1 -: HKCU-Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080 R1 -: HKCU-Internet Settings,ProxyOverride = 127.0.0.1;localhost;club-internet.fr;*.club-internet.fr;grolier.fr;*.grolier.fr R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.fr/keyword/%s O17 -: HKLM\CCS\Interface\{152C3701-2F93-448C-99DD-64EED6393570}: NameServer = 194.117.200.10,194.117.200.15 O17 -: HKLM\CCS\Interface\{669935EA-0030-4FE9-87D4-6E3E0E31090C}: NameServer = 203.223.153.21,203.223.145.179 O16 -: Microsoft XML Parser for Java - D:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab D:\WINDOWS\Downloaded Program Files\oscan8.inf D:\WINDOWS\bdoscandellang.ini D:\WINDOWS\bdoscandel.exe D:\WINDOWS\Downloaded Program Files\live.ini D:\WINDOWS\Downloaded Program Files\scanoptions.tsi D:\WINDOWS\Downloaded Program Files\lang.ini D:\WINDOWS\Downloaded Program Files\ipsupd.dll D:\WINDOWS\Downloaded Program Files\bdupd.dll D:\WINDOWS\Downloaded Program Files\libfn.dll D:\WINDOWS\Downloaded Program Files\bdcore.dll D:\WINDOWS\Downloaded Program Files\oscan8.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 14:33:27 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AVPCC] "ImagePath"="Fichier \"c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe\" /Service\" n'existe pas." [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KAVMonitorService] "ImagePath"="Fichier \"c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe\" /Service\" n'existe pas." . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: D:\WINDOWS\explorer.exe -> D:\Program Files\RocketDock\RocketDock.dll . ------------------------ Other Running Processes ------------------------ . D:\WINDOWS\system32\FTRTSVC.exe D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe D:\Program Files\NVIDIA Corporation Tune TuneService.exe D:\WINDOWS\system32 vsvc32.exe D:\WINDOWS\system32\wdfmgr.exe D:\WINDOWS\pchealth\helpctr\binaries\HelpSvc.exe D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe D:\Program Files\Rainmeter\Rainmeter.exe . ************************************************************************** . Temps d'accomplissement: 2008-07-25 14:35:06 - machine was rebooted [TRex] ComboFix-quarantined-files.txt 2008-07-25 12:35:02 Pre-Run: 1,915,752,448 octets libres Post-Run: 1,837,424,640 octets libres 248 PS : pas besoin de désactiver kaspersky ou spybot car je les ai supprimer tous les 2 ...

Zouky86 · Answer

voici le dernier rapport conforme a ta demande mais cete fois ci, il n'a pas redemarrer l'ordi : ComboFix 08-07-24.3 - TRex 2008-07-25 14:40:57.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.725 [GMT 2:00] Endroit: D:\Documents and Settings\TRex\Bureau\Trex.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . D:\WINDOWS\system32\drivers\downld . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))))))) . 2008-07-25 14:20 . 2008-07-25 14:20 d-------- D:\_OTMoveIt 2008-07-25 13:56 . 2008-07-25 13:56 d-------- D:\Deckard 2008-07-25 13:48 . 2008-07-25 13:48 d-------- D:\ComboFix 2008-07-24 19:51 . 2008-07-24 21:26 d-------- D:\WINDOWS\BDOSCAN8 2008-07-24 19:32 . 2008-07-24 19:32 d-------- D:\Program Files\Alwil Software 2008-07-24 19:20 . 2008-07-24 19:20 d-------- D:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-07-10 19:23 . 2008-07-10 19:23 d-------- D:\Documents and Settings\TRex\Application Data\EPSON 2008-07-03 21:24 . 2008-07-03 21:27 d-------- D:\WINDOWS\system32\Adobe 2008-07-03 17:19 . 2008-07-03 17:26 d-------- D:\Program Files\PC Health Optimizer Free Edition 2008-07-03 17:19 . 2008-05-07 17:12 951,104 --a------ D:\WINDOWS\system32 ssOfficeMenu1d.ocx 2008-07-03 17:19 . 2008-05-07 17:12 865,088 --a------ D:\WINDOWS\system32\ExplorerBarXP2_vba.ocx 2008-07-03 17:19 . 2008-05-07 17:12 865,080 --a------ D:\WINDOWS\system32\ExplorerBarXP2.ocx 2008-07-03 17:19 . 2008-05-07 17:12 851,968 --a------ D:\WINDOWS\system32\ExplorerBarXP2Demo.ocx 2008-07-03 17:19 . 2008-05-07 17:12 515,584 --a------ D:\WINDOWS\system32\RetinaTSpinEditXControl1.ocx 2008-07-03 17:19 . 2008-05-07 17:12 312,128 --a------ D:\WINDOWS\system32 ssPopupNotify.ocx 2008-07-03 17:19 . 2008-05-07 17:12 143,360 --a------ D:\WINDOWS\system32\LVbuttons.ocx 2008-07-03 17:19 . 2008-05-07 17:12 94,208 --a------ D:\WINDOWS\system32\vbalIml6.ocx 2008-07-03 17:19 . 2008-05-07 17:12 65,536 --a------ D:\WINDOWS\system32\MBSplit.ocx 2008-07-02 21:43 . 2008-07-02 21:43 d-------- D:\Program Files\Foxit Software 2008-07-01 21:53 . 2008-07-01 21:53 54,156 --ah----- D:\WINDOWS\QTFont.qfn 2008-07-01 21:53 . 2008-07-01 21:53 1,409 --a------ D:\WINDOWS\QTFont.for 2008-06-28 17:31 . 2008-06-28 17:31 d-------- D:\Program Files\Mp3tag 2008-06-28 17:31 . 2008-06-28 17:31 d-------- D:\Documents and Settings\TRex\Application Data\Mp3tag 2008-06-27 12:45 . 2006-09-22 10:17 40 --a------ D:\WINDOWS\RUNAWAY2.INI 2008-06-27 12:28 . 2008-06-27 12:28 278,728 --a------ D:\WINDOWS\system32\drivers\atksgt.sys 2008-06-27 12:28 . 2008-06-27 12:28 25,416 --a------ D:\WINDOWS\system32\drivers\lirsgt.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-25 12:24 --------- d-----w D:\Program Files\Spybot - Search & Destroy 2008-07-25 12:24 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-07-24 18:14 --------- d-----w D:\Program Files\RocketDock 2008-07-24 17:19 --------- d-----w D:\Program Files\Kaspersky Lab 2008-07-24 17:15 --------- d-----w D:\Program Files\CCleaner 2008-07-24 17:10 3,318,452 --sha-w D:\WINDOWS\system32\drivers\fidbox.idx 2008-07-24 17:10 3,055,136 --sha-w D:\WINDOWS\system32\drivers\fidbox2.dat 2008-07-24 17:10 290,240 --sha-w D:\WINDOWS\system32\drivers\fidbox2.idx 2008-07-24 17:10 247,283,488 --sha-w D:\WINDOWS\system32\drivers\fidbox.dat 2008-07-22 20:54 --------- d-s---w D:\Program Files\HLSW 2008-07-22 18:34 --------- d-----w D:\Documents and Settings\All Users\Application Data\Google Updater 2008-07-15 15:13 --------- d-----w D:\Program Files\Opera 2008-07-03 15:26 --------- d-----w D:\Documents and Settings\TRex\Application Data\GlarySoft 2008-07-03 15:25 --------- d-----w D:\Program Files\Glary Utilities 2008-07-03 11:16 --------- d-----w D:\Program Files\adslTV 2008-07-02 19:44 --------- d-----w D:\Program Files\Fichiers communs\Adobe 2008-06-29 14:01 --------- d--h--w D:\Program Files\InstallShield Installation Information 2008-06-24 22:03 --------- d-----w D:\Program Files\DivX 2008-06-23 20:42 43,520 ----a-w D:\WINDOWS\system32\CmdLineExt03.dll 2008-06-23 20:34 --------- d-----w D:\Documents and Settings\TRex\Application Data\uTorrent 2008-06-16 18:58 --------- d-----w D:\Documents and Settings\All Users\Application Data\UDL 2008-06-16 18:57 --------- d-----w D:\Program Files\EPSON 2008-06-16 18:55 --------- d-----w D:\Documents and Settings\TRex\Application Data\InstallShield 2008-06-16 18:53 --------- d-----w D:\Documents and Settings\All Users\Application Data\EPSON 2008-06-16 17:52 --------- d-----w D:\Program Files\SigmaTel 2008-05-30 23:22 823,296 ----a-w D:\WINDOWS\system32\divx_xx0c.dll 2008-05-30 23:22 823,296 ----a-w D:\WINDOWS\system32\divx_xx07.dll 2008-05-30 23:22 815,104 ----a-w D:\WINDOWS\system32\divx_xx0a.dll 2008-05-30 23:22 802,816 ----a-w D:\WINDOWS\system32\divx_xx11.dll 2008-05-30 23:22 683,520 ----a-w D:\WINDOWS\system32\DivX.dll 2008-05-30 23:22 593,920 ----a-w D:\WINDOWS\system32\dpuGUI11.dll 2008-05-30 23:22 57,344 ----a-w D:\WINDOWS\system32\dpv11.dll 2008-05-30 23:22 53,248 ----a-w D:\WINDOWS\system32\dpuGUI10.dll 2008-05-30 23:22 344,064 ----a-w D:\WINDOWS\system32\dpus11.dll 2008-05-30 23:22 294,912 ----a-w D:\WINDOWS\system32\dpu11.dll 2008-05-30 23:22 294,912 ----a-w D:\WINDOWS\system32\dpu10.dll 2008-05-22 22:22 524,288 ----a-w D:\WINDOWS\system32\DivXsm.exe 2008-05-22 22:22 3,596,288 ----a-w D:\WINDOWS\system32\qt-dx331.dll 2008-05-22 22:20 200,704 ----a-w D:\WINDOWS\system32\ssldivx.dll 2008-05-22 22:20 1,044,480 ----a-w D:\WINDOWS\system32\libdivx.dll 2008-05-22 22:19 81,920 ----a-w D:\WINDOWS\system32\dpl100.dll 2008-05-22 22:19 196,608 ----a-w D:\WINDOWS\system32\dtu100.dll 2008-05-22 22:19 161,096 ----a-w D:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-05-22 22:18 12,288 ----a-w D:\WINDOWS\system32\DivXWMPExtType.dll 2007-02-04 10:58 2,096 ----a-w D:\Documents and Settings\TRex\Application Data\waver_2.95.dat 2001-10-05 10:53 21,866 ----a-w D:\Program Files\Fichiers communs ppupd2k.dll . ------- Sigcheck ------- 2004-09-29 20:47 660992 61cdcab341ade3482101da90fcc793ac D:\WINDOWS\$hf_mig$\KB834707\SP2QFE\wininet.dll 2005-01-27 19:12 662016 66a10b98f18fd804236ab2d90301de04 D:\WINDOWS\$hf_mig$\KB867282\SP2QFE\wininet.dll 2005-05-02 22:58 663040 0996b57cc2abcb271872296e98a18db2 D:\WINDOWS\$hf_mig$\KB883939\SP2QFE\wininet.dll 2005-03-10 09:48 662016 06ad0b0f43286cd50af283762eb56763 D:\WINDOWS\$hf_mig$\KB890923\SP2QFE\wininet.dll 2005-09-03 02:08 664576 031ca1310e4cb23e5a4f747d763d0b49 D:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll 2005-07-03 04:10 663552 39846b1ac2b99349272ee6e075c3b8af D:\WINDOWS\$hf_mig$\KB896727\SP2QFE\wininet.dll 2005-07-03 04:16 662528 e994e704303f07f331b03ee9ed6d9e2d D:\WINDOWS\$NtUninstallKB896688$\wininet.dll 2005-05-02 22:57 662016 ffe3e6fb8d52955a2de4c6cc765b02bc D:\WINDOWS\$NtUninstallKB896727$\wininet.dll 2005-09-03 02:06 662528 a2dd7ec3ac1ead13f65e2898fcabbd1a D:\WINDOWS\$NtUninstallKB912812$\wininet.dll 2006-03-04 06:00 667648 241dbc4c2714b2f39afded49459ed420 D:\WINDOWS\ie7\wininet.dll 2007-08-13 19:54 809472 f284a6225a3057a1e19985e1d4b47ada D:\WINDOWS\system32\wininet.dll 2007-08-13 19:54 818688 a4a0fc92358f39538a6494c42ef99fe9 D:\WINDOWS\system32\dllcache\wininet.dll 2005-06-28 18:56 359808 77c0c5e7d6cfe2052b8cf28b8722f528 D:\WINDOWS\system32\drivers cpip.sys 2005-03-02 20:13 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a D:\WINDOWS\$hf_mig$\KB890859\SP2QFE toskrnl.exe 2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c D:\WINDOWS\Driver Cache\i386 toskrnl.exe 2005-06-15 23:00 2321152 bebb29fbd9c14448a7bc12204a362d9e D:\WINDOWS\system32 toskrnl.exe 2005-06-15 23:01 978432 36ba2d42de2f169826885657b053dc43 D:\WINDOWS\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RocketDock"="D:\Program Files\RocketDock\RocketDock.exe" [2007-09-02 14:58 495616] "ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-19 18:09 15360] "NVIDIA nTune"="D:\Program Files\NVIDIA Corporation Tune TuneCmd.exe" [2007-04-04 15:20 81920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-11-12 07:51 8523776] "PowerStrip"="d:\program files\powerstrip\pstrip.exe" [2005-05-15 03:03 675840] D:\Documents and Settings\TRex\Menu D‚marrer\Programmes\D‚marrage\ FSL Launcher.lnk - D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe [2008-05-23 17:12:20 1444864] Rainmeter.lnk - D:\Program Files\Rainmeter\Rainmeter.exe [2006-01-21 13:41:56 118784] RocketDock.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=MsgPlusLoader.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.3iv2"= 3ivxVfWCodec.dll "msacm.divxa32"= divxa32.acm "VIDC.HFYU"= huffyuv.dll "VIDC.VP31"= vp31vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal ga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "LClock"=D:\Program Files\LClock\lclock.exe "SpybotSD TeaTimer"=D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "NvCplDaemon"=RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup "AVPCC"=Fichier "c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait" n'existe pas. "NvMediaCenter"=RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit "PowerStrip"=d:\program files\powerstrip\pstrip.exe "kav"="D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "J:\Program Files\Valve\Steam\SteamApps\ludo86\counter-strike source\hl2.exe"= "D:\WINDOWS\system32\dpvsetup.exe"= "D:\Program Files\HLSW\hlsw.exe"= "D:\WINDOWS\system32\svchost.exe"= "J:\Program Files\Ubisoft\Faces of War\FoWDServer\fow.ds.exe"= "J:\Program Files\Ubisoft\Faces of War\facesofwar.exe"= "J:\Program Files\Ubisoft\Faces of War\FoWDServer\FOW.DS.Admin\fow.dsa.exe"= "J:\Program Files\KONAMI\Pro Evolution Soccer 6\PES6.exe"= "D:\Program Files\Media Player Classic\mplayerc.exe"= "D:\Program Files\Logiciels Sebastien GRENIER\Sudoku\sudoku.exe"= "J:\Program Files\FlatOut2\FlatOut2.exe"= "J:\Program Files\utorrent\utorrent.exe"= "D:\Program Files\Logitech\Video\Launcher.exe"= "D:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe"= "D:\Program Files\MessengerDiscovery\Loader.exe"= "D:\Program Files\FileZilla\FileZilla.exe"= "D:\Program Files\Opera\Opera.exe"= "J:\Program Files\Dream Match Tennis Pro\FA.exe"= "D:\Program Files\adslTV\adsltv.exe"= "D:\Program Files\adslTV\vlc.exe"= "J:\Program Files\Valve\Steam\steam.exe"= "D:\Program Files\EarthView\EarthView.exe"= "D:\Program Files\uTorrent\uTorrent.exe"= "J:\Program Files\TVUPlayer\TVUPlayer.exe"= "J:\Program Files\SopCast\SopCast.exe"= "J:\Program Files\SopCast\adv\SopAdver.exe"= "J:\Program Files\TVAnts\Tvants.exe"= "D:\Program Files\JLC's Software\Internet TV\Internet TV.exe"= "D:\Program Files\IEPro\MiniDM.exe"= "D:\Program Files\VLC\vlc.exe"= "J:\Program Files\tetrinet\TETRINET.EXE"= "D:\Program Files\Java\jre1.6.0_05\bin\javaw.exe"= "J:\Program Files\TmNationsForever\TmForever.exe"= "D:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "D:\Program Files\Windows Live\Messenger\livecall.exe"= "j:\Program Files\eMule\emule.exe"= "J:\Program Files\Ground Control II\gcii.exe"= "J:\Program Files\Ubisoft\Funatics\The Settlers II - 10th Anniversary\bin\S2DNG.exe"= R0 Defrag32b;Defrag32Boot;D:\WINDOWS\system32\drivers\Defrag32b.sys [2005-11-22 12:33] R0 viasraid;viasraid;D:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 14:22] R1 lusbaudio;Microphone USB Logitech;D:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-18 00:05] R2 Defrag32;Defrag32;D:\WINDOWS\system32\drivers\Defrag32.sys [2005-11-22 12:33] R2 PDSched;PDScheduler;D:\Program Files\Raxco\PerfectDisk\PDSched.exe [2005-11-29 12:16] R2 PStrip;PSTRIP;D:\WINDOWS\system32\DRIVERS\PSTRIP.SYS [2004-11-09 23:32] R3 HCWBT8XX;Hauppauge WinTV 848/9 WDM Video Driver;D:\WINDOWS\system32\drivers\HCWBT8XX.sys [2003-03-24 14:18] R3 QCEmerald;QuickCam Web Logitech;D:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-18 00:05] S3 TPP200;USB Storage Adapter V2 (TPP);D:\WINDOWS\system32\DRIVERS\TPP200.SYS [2001-10-05 12:54] S4 AVPCC;AVP Control Centre Service;Fichier c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe [] S4 KAVMonitorService;KAV Monitor Service;Fichier c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe [] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-07-03 15:25:49 D:\WINDOWS\Tasks\GlaryInitialize.job" - D:\Program Files\Glary Utilities\initialize.exe . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = res://D:\Program%20Files\IEPro\IEProRs.dll/easyhome.html R1 -: HKCU-Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080 R1 -: HKCU-Internet Settings,ProxyOverride = 127.0.0.1;localhost;club-internet.fr;*.club-internet.fr;grolier.fr;*.grolier.fr R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.fr/keyword/%s O17 -: HKLM\CCS\Interface\{152C3701-2F93-448C-99DD-64EED6393570}: NameServer = 194.117.200.10,194.117.200.15 O17 -: HKLM\CCS\Interface\{669935EA-0030-4FE9-87D4-6E3E0E31090C}: NameServer = 203.223.153.21,203.223.145.179 O16 -: Microsoft XML Parser for Java - D:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab D:\WINDOWS\Downloaded Program Files\oscan8.inf D:\WINDOWS\bdoscandellang.ini D:\WINDOWS\bdoscandel.exe D:\WINDOWS\Downloaded Program Files\live.ini D:\WINDOWS\Downloaded Program Files\scanoptions.tsi D:\WINDOWS\Downloaded Program Files\lang.ini D:\WINDOWS\Downloaded Program Files\ipsupd.dll D:\WINDOWS\Downloaded Program Files\bdupd.dll D:\WINDOWS\Downloaded Program Files\libfn.dll D:\WINDOWS\Downloaded Program Files\bdcore.dll D:\WINDOWS\Downloaded Program Files\oscan8.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 14:41:45 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\AVPCC] "ImagePath"="Fichier \"c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe\" /Service\" n'existe pas." [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\KAVMonitorService] "ImagePath"="Fichier \"c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe\" /Service\" n'existe pas." . Temps d'accomplissement: 2008-07-25 14:42:07 ComboFix-quarantined-files.txt 2008-07-25 12:42:05 ComboFix2.txt 2008-07-25 12:35:07 Pre-Run: 1,844,158,464 octets libres Post-Run: 1,832,296,448 octets libres 247

Utilisateur anonyme · Answer

Tu vas devoir réinstaller ton antivirus et tout autre logiciel de sécurité


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : D:\WINDOWS\system32\drivers\atksgt.s­ys 

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

fais la meme chose pour : D:\WINDOWS\system32\drivers\lirsgt.sy­s

Zouky86 · Answer

au faites, parais t'il que si j'ai "%1" %* dans HKEY_CLASSES_ROOTS / exefile / shell / open c'est pas bon ( car je l'ai ... ) je l'ai aussi dans HKEY_CLASSES_ROOTS / exefile / shell / runas ...

Zouky86 · Answer

alors pour : D:\WINDOWS\system32\drivers\atksgt.sys

Fichier atksgt.sys reçu le 2008.07.24 17:11:42 (CET)
Situation actuelle: terminé 
Résultat: 2/35 (5.71%)
 Formaté 
Impression des résultats  Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.7.24.0	2008.07.24	-
AntiVir	7.8.1.11	2008.07.24	-
Authentium	5.1.0.4	2008.07.24	-
Avast	4.8.1195.0	2008.07.24	-
AVG	8.0.0.130	2008.07.24	-
BitDefender	7.2	2008.07.24	-
CAT-QuickHeal	9.50	2008.07.24	-
ClamAV	0.93.1	2008.07.24	-
DrWeb	4.44.0.09170	2008.07.24	-
eSafe	7.0.17.0	2008.07.24	-
eTrust-Vet	31.6.5979	2008.07.24	-
Ewido	4.0	2008.07.24	-
F-Prot	4.4.4.56	2008.07.22	-
F-Secure	7.60.13501.0	2008.07.24	-
Fortinet	3.14.0.0	2008.07.24	-
GData	2.0.7306.1023	2008.07.24	-
Ikarus	T3.1.1.34.0	2008.07.24	-
Kaspersky	7.0.0.125	2008.07.24	-
McAfee	5345	2008.07.23	-
Microsoft	1.3704	2008.07.24	-
NOD32v2	3295	2008.07.24	-
Norman	5.80.02	2008.07.24	-
Panda	9.0.0.4	2008.07.24	-
PCTools	4.4.2.0	2008.07.24	-
Prevx1	V2	2008.07.24	-
Rising	20.54.32.00	2008.07.24	-
Sophos	4.31.0	2008.07.24	-
Sunbelt	3.1.1536.1	2008.07.18	VIPRE.Suspicious
Symantec	10	2008.07.24	-
TheHacker	6.2.96.387	2008.07.23	-
TrendMicro	8.700.0.1004	2008.07.24	-
VBA32	3.12.8.1	2008.07.23	suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot	2008.7.24.1309	2008.07.24	-
VirusBuster	4.5.11.0	2008.07.24	-
Webwasher-Gateway	6.6.2	2008.07.24	-

File size: 278728 bytes
MD5...: 72bc628af75c4c3250f2a3bac260265a
SHA1..: dbf1f6327b1488ee634c839dd8fbdfcf51290968
SHA256: 8a7da327fb053ef172f0fd57f9822cf165b93f4b224d6fee663690694d9caa80
SHA512: 0a9fe677a98115daeb69c12031fc505e82efeff3f7d1972ac61ee56edd230f9c
e3f646317f8037ce1bd99827ba9b24bda2fdfe2ca72cf4d08c229fa0a8cb0d3f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x50446
timedatestamp.....: 0x450a7dd6 (Fri Sep 15 10:17:58 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x3acc8 0x3ad00 5.97 02fec29cab89b71883d3aeb344beaf53
.rdata 0x3b000 0x3d08 0x3d80 7.59 a161f24b36d02465175930866a31051e
.data 0x3ed80 0xb1c 0xb80 4.41 5524e96070020a98e1c3d3c09bc6ac80
PAGE 0x3f900 0xaa1 0xb00 5.93 682195f5c6d3b28acda9da66c25b78a6
INIT 0x40400 0x4e6 0x500 5.67 9d0b60174ad139da0f9335416cd4daac
.reloc 0x40900 0x1af4 0x1b00 4.20 49fa48eec5950f2bd49e85a7b512d931

( 2 imports ) 
> ntoskrnl.exe: IoAllocateMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, KeWaitForSingleObject, _alldiv, _allmul, ExFreePool, ExAllocatePool, IoCreateSymbolicLink, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, MmUnmapIoSpace, MmMapIoSpace, RtlUnicodeStringToAnsiString, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, wcslen, swprintf, RtlQueryRegistryValues, _aullshr, _allshl, RtlUnwind, IoCreateDevice, IoFreeMdl
> HAL.dll: KeQueryPerformanceCounter

( 0 exports )

et pour : D:\WINDOWS\system32\drivers\lirsgt.sys

Fichier lirsgt.sys reçu le 2008.07.24 17:04:34 (CET)
Situation actuelle: terminé 
Résultat: 1/35 (2.86%)
 Formaté 
Impression des résultats  Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.7.24.0	2008.07.24	-
AntiVir	7.8.1.11	2008.07.24	-
Authentium	5.1.0.4	2008.07.24	-
Avast	4.8.1195.0	2008.07.24	-
AVG	8.0.0.130	2008.07.24	-
BitDefender	7.2	2008.07.24	-
CAT-QuickHeal	9.50	2008.07.24	-
ClamAV	0.93.1	2008.07.24	-
DrWeb	4.44.0.09170	2008.07.24	-
eSafe	7.0.17.0	2008.07.24	-
eTrust-Vet	31.6.5979	2008.07.24	-
Ewido	4.0	2008.07.24	-
F-Prot	4.4.4.56	2008.07.22	-
F-Secure	7.60.13501.0	2008.07.24	-
Fortinet	3.14.0.0	2008.07.24	-
GData	2.0.7306.1023	2008.07.24	-
Ikarus	T3.1.1.34.0	2008.07.24	-
Kaspersky	7.0.0.125	2008.07.24	-
McAfee	5345	2008.07.23	-
Microsoft	1.3704	2008.07.24	-
NOD32v2	3295	2008.07.24	-
Norman	5.80.02	2008.07.23	-
Panda	9.0.0.4	2008.07.24	-
PCTools	4.4.2.0	2008.07.24	-
Prevx1	V2	2008.07.24	-
Rising	20.54.32.00	2008.07.24	-
Sophos	4.31.0	2008.07.24	-
Sunbelt	3.1.1536.1	2008.07.18	-
Symantec	10	2008.07.24	-
TheHacker	6.2.96.387	2008.07.23	-
TrendMicro	8.700.0.1004	2008.07.24	-
VBA32	3.12.8.1	2008.07.23	suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot	2008.7.24.1309	2008.07.24	-
VirusBuster	4.5.11.0	2008.07.24	-
Webwasher-Gateway	6.6.2	2008.07.24	-
Information additionnelle
File size: 25416 bytes
MD5...: 4127e8b6ddb4090e815c1f8852c277d3
SHA1..: 733c71ab7ee347e267f264b0ba0d784a368a1e90
SHA256: a5bc1f65fa6d8952cdda08320addf0e4394e10ae4780017c8c86ac5e68df83f8
SHA512: 16f882010ec9ff1d3f9558576cf4288828a86ed5669aa9e3f3c65110d6c5aced
bdcd23619192efdf786ba33e01ca118d5536d30c3c15355723078de2ce5695dd
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13e46
timedatestamp.....: 0x43dca1aa (Sun Jan 29 11:06:18 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x1b7e 0x1b80 6.50 5e654fd4426d049b509254904e546a8d
.rdata 0x1e80 0x98 0x100 2.31 a2c2770e649dead2bc7c306edf0ee41e
.data 0x1f80 0x1c 0x80 0.13 012bc3c0c683ec46025b8c67bd3b0c32
PAGE 0x2000 0x1dd1 0x1e00 6.23 e681e3d94897126bd34e2e53b20e37cb
INIT 0x3e00 0x44c 0x480 5.36 c97e8c4d81596ba678c582fcf7b9405c
.reloc 0x4280 0x3c2 0x400 4.70 462e32b9d1603abc42ff06ddce1a56eb

( 2 imports ) 
> ntoskrnl.exe: KeWaitForSingleObject, IofCallDriver, IoBuildSynchronousFsdRequest, KeInitializeEvent, ExFreePool, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePool, PsGetVersion, IoFreeMdl, MmUnlockPages, MmMapLockedPagesSpecifyCache, _allmul, IoDeleteDevice, IoDeleteSymbolicLink, KeInitializeTimer, IoCreateSymbolicLink, IoCreateDevice, IoAllocateMdl, MmProbeAndLockPages, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, KeSetTimer, RtlUnwind, IofCompleteRequest, _alldiv
> HAL.dll: KeQueryPerformanceCounter

( 0 exports )

Zouky86 · Answer

verni29 m'avais dis que ce virus été coriace ... je dirai meme plus : il est casse c**** !!! lol

Utilisateur anonyme · Answer

double-clique sur Retire.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la liste qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

D:\WINDOWS\RUNAWAY2.INI 
D:\Documents and Settings\TRex\Application Data\waver_2.95.dat 

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.


 Télécharge HijackThis ici : 

->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 


Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation) 

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation) 

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

Post le rapport généré ici stp...

Zouky86 · Answer

du nouveau :

J'ai retélecharger spybot, et j'arrive a l'installer ... aurai t'il disparu ???

Utilisateur anonyme · Answer

oui bagle est mort

Zouky86 · Answer

runaway2 est un jeu a moi et waver été un logiciel d'edition de fichier wav ... tu es sur de ton coup la ???

Utilisateur anonyme · Answer

ok avec un peux de recherche ils apparaissent comme nefaste 

tu peux les analyser sur virus total ainsi on sera fixé

Zouky86 · Answer

Super chiquitine !!! mille merci a toi ... par contre, j'ai pas vue le momment ou on l'a tuer ( si jamais sa arriver a un amis ou meme a moi meme ( m'enfin la faudrai etre c** ... mais jamais dire jamais ) ... as tu vue un signe dans les rapport ? aussi, au lancement de windows il me demande de vérifier un disque qui me sert que de stockage ... dois je le faire ?

Utilisateur anonyme · Answer

si windows te le demande oui fait le

Utilisateur anonyme · Answer

Verni si t es là tu finis ??

Zouky86 · Answer

alors virus total ne trouve rien pour les 2 fichiers ( 0 résultat ) ...

J'ai réinstaller kaspersky sans probleme ...

Rien a dire, vous etes des as ... ,) le scan spybot mis a jour ne ma trouver aucun mouchard et la, dès que kaspersky a fait sa mise a jour, je lance un scan total du PC ...

OK, je ferai la vérif au prochain reboot ...

Si vous avez un espace "dons" ou un compte paypal ( les 2 ou un de vous 2 ) dites le moi, je me ferai un petit plaisir car vous m'avais enlever une belle épine du pied !!! 

Et ne faites pas les "non, mais laisse sa nous fais plaisir" ... tout travail mérite un petit quelques chose ( meme pas grand chose ) vu le temps que vous avez passer avec moi 2h pour l'un et pas loin de 4 a 5 heure pour l'autre ( avec des cernes en plus !!! lol )

Encore mille merci ! ;)

Utilisateur anonyme · Answer

Encore mille merci ! ;)

voila notre salaire

pense a poster un rapport hijackthis 

pour les derniers details (maj etc)

@++

Zouky86 · Answer

avant de télécharger hijackthis ... kaspersky viens de me trouver sa :

objet :

d:\program files\powerstrip\pstrip.exe

Cheval de troie :

Trojan-downloader.win32.bagle.vf 

Vous penser qu'il ma infester beaucoup de program ce bagle ???

Utilisateur anonyme · Answer

ça reste a voir la meilleur soluce étant de désinstaller et réinstaller les logiciels touché

Zouky86 · Answer

c'est ce que j'ai fait pour kaspersky et spybot ...

Pour powerstrip, j'aurai du m'en douter, car dans le "panneau de configuration" / "ajout suppression de logiciel" le logo de powerstrip été devenu identique a celui de "milkdrop 1.04" ... Bagle donc ...

Utilisateur anonyme · Answer

et t arrive pas a le virer ??

Zouky86 · Answer

si si c'est bon ... ;)

Voici l'ultime rapport de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:08, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\Program Files\RocketDock\RocketDock.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
D:\WINDOWS\system32
vsvc32.exe
D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe
D:\Program Files\Rainmeter\Rainmeter.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Raxco\PerfectDisk\PDSched.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://D:\Program%20Files\IEPro\IEProRs.dll/easyhome.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - D:\Program Files\IEPro\iepro.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "D:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\Program Files\NVIDIA Corporation
Tune
TuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: FSL Launcher.lnk = D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe
O4 - Startup: Rainmeter.lnk = D:\Program Files\Rainmeter\Rainmeter.exe
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{152C3701-2F93-448C-99DD-64EED6393570}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{669935EA-0030-4FE9-87D4-6E3E0E31090C}: NameServer = 203.223.153.21,203.223.145.179
O20 - AppInit_DLLs: MsgPlusLoader.dll,D:\PROGRA~1\Kaspersky Lab\KASPER~1\mzvkbd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe

Utilisateur anonyme · Answer

réouvre hijackthis
fais scan only
coches ces lignes :

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file) 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 


tu les coches et tu clic sur fix checked 

ensuite désinstal java car pas a jours et telecharge et instal cette version :

 https://sdlc-esd.oracle.com/ESD44/JSCDL/jdk/6u7/jre-6u7-windows-i586-p-s.exe?GroupName=JSC&FilePath=/ESD44/JSCDL/jdk/6u7/jre-6u7-windows-i586-p-s.exe&BHost=javadl.sun.com&File=jre-6u7-windows-i586-p-s.exe&AuthParam=1580978146_46494a57fbc0e7c89e79cfb72e28cd3a&ext=.exe

ton dns pointe vers la malaysie c est normal ??

Zouky86 · Answer

au faites .. je change un peu de sujet mais saurais tu si il est possible, en cas de réinstallation de windows, de sauvegarder certain fichier clé de windows pour ne pas a avoir tous les logiciels a réinstaller ... ( example : un jeu qui ne veus plus ce lancer lorsque je réinstalle windows pourtant sur une partition différente ... ) c'est ma seul p'tite question pour ne pas faire un gros hors sujet ^^

PS : j'ai lancer un scan complet avec kaspersky et deja :

1 bagle trouver dans le dossiers : d:\systeme volume information \ restore ********** \RP4\A0000284.exe

détécté :

Http : viruslist.com\fr\advisories\28506 ==> office\excel
               "           "      "       \30143 ==> office\winword
               "           "      "       \31010 ==> system32\javascript 

:(

Zouky86 · Answer

DNS ??? what that ???

Utilisateur anonyme · Answer

fais ceci :

 Télécharge FixWareout de ce site sur le bureau: 
http://download.bleepingcomputer.com/lonny/Fixwareout.exe
 

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.

Zouky86 · Answer

voici le log :

Username "TRex" - 25/07/2008 16:08:36 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Impossible de vider la cache de résolution DNS : La fonction a échoué lors de l'exécution.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
"NvCplDaemon"="RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup"
"AVP"="\"D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="\"D:\Program Files\RocketDock\RocketDock.exe\""
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe"
"NVIDIA nTune"="\"D:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe\" clear"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

aussi, je ne met pas tout de suite résolu ( sauf si je peus poster aprés ) car je ferai un scan complet cette nuit avec kaspersky et posterai le rapport ici meme ... ;)

Utilisateur anonyme · Answer

ok

post un nouveau rapport hijackthis stp

Zouky86 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:34, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\WINDOWS\System32\FTRTSVC.exe
D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
D:\WINDOWS\system32
vsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Raxco\PerfectDisk\PDSched.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\Program Files\RocketDock\RocketDock.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe
D:\Program Files\Rainmeter\Rainmeter.exe
D:\Program Files\Opera\opera.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://D:\Program%20Files\IEPro\IEProRs.dll/easyhome.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - D:\Program Files\IEPro\iepro.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "D:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\Program Files\NVIDIA Corporation
Tune
TuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: FSL Launcher.lnk = D:\Program Files\FSL\FSL_Launcher\FSL_Launcher.exe
O4 - Startup: Rainmeter.lnk = D:\Program Files\Rainmeter\Rainmeter.exe
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Program Files\IEPro\iepro.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{152C3701-2F93-448C-99DD-64EED6393570}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{669935EA-0030-4FE9-87D4-6E3E0E31090C}: NameServer = 203.223.153.21,203.223.145.179
O20 - AppInit_DLLs: MsgPlusLoader.dll,D:\PROGRA~1\Kaspersky Lab\KASPER~1\mzvkbd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe

Utilisateur anonyme · Answer

réouvre hijackthis
fais scan only
coches ces lignes :

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O17 - HKLM\System\CCS\Services\Tcpip\..\{669935EA-0030-4FE9-87D4-6­E3E0E31090C}: NameServer = 203.223.153.21,203.223.145.179 


tu les coches et tu clic sur fix checked 

ensuite fais ceci :

click sur demarrer > executer > dans la boite de dialogue tape > cmd et valide 

dans la fenetre noir tape ceci : ipconfig /flushdns et valide par entree 


ensuite :

* pour supprimer les outils/fix utilisés : 

Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

et reviens ce soir avec le rapport kaspersky

Zouky86 · Answer

"pour supprimer les outils/fix utilisés :"

Ba c'est que tout les fichiers si et la que vous m'avais demander de télécharger je vouler faire une save dans un répertoire approprier au cas ou je devrai m'en resservir un jour ...

PS c'est quoi l'histoire du dns ? une usurpation d'identité ??? ON M'ESPIONNE ??? dois je me méfier, prévenir ma banque ? la police ? ... je plaisante mais sa peut etre grave ?

Zouky86 · Answer

O17 - HKLM\System\CCS\Services\Tcpip\..\{669935EA-0030-4FE9-87D4-6E3E0E31090C}: NameServer = 203.223.153.21,203.223.145.179

et pourquoi plutot celui la plutot que l'autre ?

Utilisateur anonyme · Answer

car celle ci est bonne

Zouky86 · Answer

au faite, voila se que j'ai dans le cmd :

D:\>ipconfig /flushdns

Configuration IP de Windows

Impossible de vider la cache de résolution DNS : La fonction a échoué lors de l'
exécution.

Utilisateur anonyme · Answer

ça a été vidé par fixwareout donc c bon

Zouky86 · Answer

ok ... merci pour tout et a ce soir ( ou demain selon le temps qui mettra ) pour le rapport kaspersky ...

Vous etes des AS ... je crois que si vous étiez a coté de moi ... non, j'arrete la !!! lol

Encore merci et bravo pour ce que vous faites ...

PS : je trouve dommage qu'il n'y ai pas un petit lien paypal / dons ... car quand je vois le nombre de post de personne qui, comme moi, se sont fais pieger, vous etes pas pret de vous reposer !!!

De plus, vue le nombre de message concernant bagle, sa doit etre rébarbatif quand meme ...

Allez ... @ demain ! ;)

Utilisateur anonyme · Answer

@ DEMAIN 

@++

Zouky86 · Answer

PS : la fonction " afficher les fichiers cacher" est réapparu dans outils/ option des dossiers / affichage ...

il en fais des saloprie ce bagle !!! ;)

Utilisateur anonyme · Answer

-;)

Zouky86 · Answer

rapport de kaspersky :

Analyse complète: terminée le 26/07/2008 04:37:51   (événements : 33, objets : , durée : 00:00:00)	
26/07/2008 04:37:52	Fin de la tâche			
26/07/2008 04:37:51	Détectés: Trojan-Downloader.Win32.Bagle.qt	J:\Program Files\eMule
on partager\Kaspersky.Intenet.Security.V.6.0.1.411.New.Key.2008.zip/Kaspersky.Intenet.Security.V.6.0.1.411.New.Key.2008.exe		
26/07/2008 04:37:51	Détectés: Trojan-Downloader.Win32.Bagle.qt	J:\Program Files\eMule
on partager\---.kaspersky.6.0.1.411.keygen.1.16.zip/---.kaspersky.6.0.1.411.keygen.1.16.exe		
26/07/2008 04:37:50	Détectés: Backdoor.Win32.Hupigon.cjai	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP7\A0000728.exe		
26/07/2008 04:37:40	Détectés: Trojan-Downloader.Win32.Bagle.vf	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP7\A0000721.exe		
26/07/2008 04:09:23	Non réparés: Trojan-Downloader.Win32.Bagle.qt	J:\Program Files\eMule
on partager\Kaspersky.Intenet.Security.V.6.0.1.411.New.Key.2008.zip/Kaspersky.Intenet.Security.V.6.0.1.411.New.Key.2008.exe	Reporté	
26/07/2008 04:09:23	Détectés: Trojan-Downloader.Win32.Bagle.qt	J:\Program Files\eMule
on partager\Kaspersky.Intenet.Security.V.6.0.1.411.New.Key.2008.zip/Kaspersky.Intenet.Security.V.6.0.1.411.New.Key.2008.exe		
26/07/2008 04:08:19	Non réparés: Trojan-Downloader.Win32.Bagle.qt	J:\Program Files\eMule
on partager\---.kaspersky.6.0.1.411.keygen.1.16.zip/---.kaspersky.6.0.1.411.keygen.1.16.exe	Reporté	
26/07/2008 04:08:19	Détectés: Trojan-Downloader.Win32.Bagle.qt	J:\Program Files\eMule
on partager\---.kaspersky.6.0.1.411.keygen.1.16.zip/---.kaspersky.6.0.1.411.keygen.1.16.exe		
26/07/2008 02:34:17	Non réparés: Backdoor.Win32.Hupigon.cjai	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP7\A0000728.exe	Reporté	
26/07/2008 02:34:17	Détectés: Backdoor.Win32.Hupigon.cjai	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP7\A0000728.exe		
26/07/2008 02:34:16	Non réparés: Trojan-Downloader.Win32.Bagle.vf	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP7\A0000721.exe	Reporté	
26/07/2008 02:34:16	Détectés: Trojan-Downloader.Win32.Bagle.vf	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP7\A0000721.exe		
26/07/2008 02:31:22	Lancement de la tâche			
Analyse complète: terminée le 26/07/2008 04:37:51   (événements : 33, objets : , durée : 00:00:00)	
25/07/2008 20:19:10	Lancement de la tâche			
25/07/2008 20:19:12	Fin de la tâche			
Analyse complète: terminée le 26/07/2008 04:37:51   (événements : 33, objets : , durée : 00:00:00)	
25/07/2008 16:46:48	Lancement de la tâche			
25/07/2008 16:49:51	Fin de la tâche			
Analyse complète: terminée le 26/07/2008 04:37:51   (événements : 33, objets : , durée : 00:00:00)	
25/07/2008 16:07:41	Tâche arrêtée			
25/07/2008 15:54:00	Non réparés: Trojan-Downloader.Win32.Bagle.vf	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP4\A0000284.exe	Reporté	
25/07/2008 15:50:53	Lancement de la tâche			
25/07/2008 22:29:45	Lancement de la tâche			
25/07/2008 15:54:00	Détectés: Trojan-Downloader.Win32.Bagle.vf	d:\System Volume Information\_restore{DA5DA74D-0127-4593-9F40-92776DC1E636}\RP4\A0000284.exe		
Analyse complète: terminée le 26/07/2008 04:37:51   (événements : 33, objets : , durée : 00:00:00)	
25/07/2008 15:43:39	Fin de la tâche			
25/07/2008 15:42:52	Lancement de la tâche			
Analyse complète: terminée le 26/07/2008 04:37:51   (événements : 33, objets : , durée : 00:00:00)	
25/07/2008 15:34:42	Fin de la tâche			
25/07/2008 15:34:20	Détectés: Trojan-Downloader.Win32.Bagle.vf	d:\program files\powerstrip\pstrip.exe		
25/07/2008 15:34:19	Lancement de la tâche			
Analyse complète: terminée le 26/07/2008 04:37:51   (événements : 33, objets : , durée : 00:00:00)	
25/07/2008 15:34:20	Fin de la tâche			
25/07/2008 15:30:58	Détectés: Trojan-Downloader.Win32.Bagle.vf	d:\program files\powerstrip\pstrip.exe		
25/07/2008 15:29:28	Non réparés: Trojan-Downloader.Win32.Bagle.vf	d:\program files\powerstrip\pstrip.exe	Reporté	
25/07/2008 15:29:28	Détectés: Trojan-Downloader.Win32.Bagle.vf	d:\program files\powerstrip\pstrip.exe		
25/07/2008 15:26:55	Lancement de la tâche			


Voila ... Emule est mon ennemi ...
Mais , qui fuit l'ennemi est un lache !!!

JE l'AURAI UN JOUR ... JE L'AURAI ... ;)

et pour ma part, je sens bien que je vais lacher 30 euros pour une clé ... lol meme si sa m'embéte car j'avais acheter kaspersky V4 ... :(

Utilisateur anonyme · Answer

T es pas obligé de payer un antivirus

il y a des tres bon gratuit , antivir par exemple

il faut qu etu vire tes telechargement dans emule sinon ça va recommencer

et fais ceci :

 télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la ligne qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

d:\program files\powerstrip\

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

et ceci :

--->Désactive ta restauration : 
Dans démarrer, clik droit sur ordinateur/propriétés/protection du système : décoches la case devant ton disk dur maitre ( le C et pas un autre !), valides, appliques et OK 
Redémarre ton PC 
--->Réactive ta restauration : 
Clik droit sur ordinateur/propriétés/protection du système : coches la case devant ton disk dur maitre , valides, appliques et OK 
Redémarres ton PC

Zouky86 · Answer

Folder d:\program files\powerstrip\ not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07262008_154625

mon disque Maitre ( celui de windows, n'est pas C: mais D: ... sa change rien ? )

Utilisateur anonyme · Answer

non faut que tu vires ça : powerstrip + tes telechargement dans la mule

@++

Zouky86 · Answer

sa c'est fait depuis que kaspersky me les a trouver ... je dois théoriquement etre archie clean !!!

Par contre, sa vaut quoi antivir ? sa fait 8 ans que j'utilise kaspersky ... il est vraiment fiable ?

Utilisateur anonyme · Answer

si tu veux mon avis perso 

moi je prefere Antivir a kaspersky 

mais comme toi tu essai de cracker kasperky te complique pas la vie prend antivir 

antivir vs avast : 

-> http://forum.malekal.com/ftopic3528.php 


Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
https://lexpansion.lexpress.fr/actualite-economique/­

Zouky86 · Answer

disons que j'ai l'original ( enfin j'avais été a leclerc me prendre la V4 de kaspersky ( a l'époque ) ... et je trouve abuser de devoir "racheter" le logiciel tous les ans ( quoique ma 1ere clé eu avec kaspersky été valable 2 ans a l'époque ) ... Donc j'ai dis NON et je me prener des clé valide via emule ... chose qui été facile avec les version précédente mais qui deviens quasiment impossible avec les derniere version !!!

Ma version d'évaluation de kaspersky s'acheve demain ... j'en profiterai pour tester antivir ...

par contre, j'ai vue sur le site d'antivir que les protection de la version grtuite été quand meme limiter ( pas d'antiphishing par example ) ...

Mais comme a pars cette erreur de ma pars ( j'ai été trop curieux et naif ) avec bagle, sa devari aller ... A voir ...

MAGGY14 · Answer

APRES UN NETTOYAGE SUITE A UNE INFECTION WIN32, j'ai réinstalllé avast et le pck3 de windows mais je n'arrive pas du tout à activer lesq mises à jour automatique malgré les recommandations de update!et aprés un scan, avast me dis que je suis infecté de win 32!

quoi faire pour que les mises à jour se fasse et que cette merde s'en aille?

MAGGY14 · Answer

aprés un scan avec avast,j'i pu identifier trojan-gen dans windows system32 XVVRGDOB.dll !
quoi faire pour le supprimer?

Utilisateur anonyme · Answer

Salut, 

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace 
Procèdes comme ceci : 
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm 

A bientôt

Zouky86 · Answer

chiquitine ... je viens de télécharger la version d'évaluation de kaspersky internet security 2009 ( c'été plus fort que moi ... :( ) ... du coup, ma protection est renouveler pour un mois ... mais une question me brule les levres ... ce n'est pas du piratage ( je ne pense pas ) mais une facon de détourner légalement la chose :

une fois la clé d'évaluation périmer ... si je désinstalle kaspersky pour le réinstaller ... théoriquement, il me dira que j'ai deja essayer le programme ... mais le petit truc sur mon PC qui lui dis que je l'ai deja essayer, si je l'efface ...

Bref, c'est juste une idée comme sa ... et c'est légal non ?

Car admettons que je dois reformater mon PC ... "le petit truc sur mon PC qui lui dis que je l'ai deja essayer" sera bien effacé aussi ...

Bref, c'est juste une question, le plus dur étant de savoir ou ce trouve "le petit truc sur mon PC qui lui dis que je l'ai deja essayer" ... lol

Utilisateur anonyme · Answer

réponse : INSTAL ANTIVIR 

ET VIVE LE GRATUIT

Zouky86 · Answer

lol ... tu serai pas breton pour etre aussi tétu par hasard ??? :p

Sa marche ... antivir dans 1 mois ! ;)

Zouky86 · Answer

allez, j'arrete de vous faire perdre du temps, vous avez ( a ce que je vois sur le forum ) bien suffisament de travail comme ca !!!

Encore une fois, mille merci pour ce que vous avez fais pour moi ...

je clos, et vous pouvez clore ce topic !!! Merci pour tout !!! ;)

Utilisateur anonyme · Answer

Si je suis breton justement 

allez @++

Je pense etre infecté par un trojan W32

104 réponses

Discussions similaires

Newsletters