Hldrrr.exe

Résolu
noobiz Messages postés 636 Statut Membre -  
noobiz Messages postés 636 Statut Membre -
Bonjour,
Alors voila, ayant ouvert un .exe venant d'un logiciel qui "était" digne de confiance et scanné, avast m'indique que 5 clefs du registres on été modifies (je n'ai pas eu le temps de les lire) et que hldrrr.exe se trouve dans c:\windows\drivers\hldrrr.exe . Je l'ai supprimé avec 6 passes avec spybot.
La je passe un scan Avast et Spybot.
Que dois-je faire d'autre?
PS j'ai supprimé la clef de démarrage hldrr.exe

--
C++ c'est pas le groupe sanguin des geek ?

                
Configuration: Windows XP
Firefox 3.0.1

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème identifié : l'ouverture d'un exécutable apparemment fiable a conduit à des modifications de clés du registre et à la détection de hldrrr.exe dans C:\Windows\drivers, signalées par Avast lors du scan.
Plusieurs éléments clés ressortent : après avoir supprimé le fichier et les clés associées, effectuer un nettoyage approfondi avec des outils comme ComboFix, désactiver temporairement la protection en temps réel antivirus et antispywares, puis réactiver.
Des précisions indiquent que des infections comme Bagle proviennent surtout de cracks, patches ou téléchargements P2P, et recommandent de supprimer ces éléments et d'utiliser des analyses complémentaires comme VirusTotal et HijackThis.
En dernier élément pertinent, l'exploitation de rapports issus d'HijackThis, Combofix ou VirusTotal peut aider à identifier des éléments persistants et à préparer un deuxième avis indépendant après le nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Re ,

    Noobiz -> Bagle s'attrape par des cracks , donc principalement par P2P.

    Je cite Ske69 :

    1-IMPORTANT :
    je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
    Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour instaler un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les beagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les patchs qui sont sur ton PC ... ;)


    Ske69 -> Merci de la précision :) Il faut noter aussi qu'une fois renommé en hldrrr.exe , Elibagla sera sans doute masqué et donc il faudra le lancer avec la commande executer.

    A++
    1
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Elibagla sera sans doute masqué et donc il faudra le lancer avec la commande executer. --> exacte !
      faut que je modifie le canned de suite :p
      0
      1. noobiz Messages postés 636 Statut Membre 27 > sKe69 Messages postés 21955 Statut Contributeur sécurité
         
        il n'a pas ete masqué
        0
  2. Utilisateur anonyme
     
    Salut ,

    Tu es infecté par le ver Bagle.

    Va sur ce site :

    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    En bas de cette page tu trouveras un outil à télécharger, clique sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le bureau.
    ensuite double-clic sur Elibagla.exe

    Vérifie que la case "eliminar ficheros automaticamente" est cochée

    Clique sur "explorar" puis laisse-le travailler.

    Puis poste moi le rapport situé dans C:\infosat.txt

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    A++
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Salut Cyril ;-)

      mon canned vient directement d'une astuce de moe ... si cela ne marche pas avec la méthode " simple ", tentes le coup ... ^^

      je reste pour suivre ...
      0
  3. noobiz Messages postés 636 Statut Membre 27
     
    Nouvelle info : =>
    Spybot a trouvé Bagle.hi , avec srosa.sys et plus hldrrr.exe (que j'ai supprimé)
    0
  4. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,
    tu es infecter par Bagle .... stop tes scan , il ne pourrons rien y faire ...

    1-IMPORTANT :
    je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
    Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour instaler un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les beagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les patchs qui sont sur ton PC ... ;)

    2-tu vas faire ceci dans l'ordre indiqué et en respectant les consignes .
    Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp

    Tout en bas de cette page tu trouveras un outil à télécharger,
    cliques droit sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    choisis --->"enregistrer " ---> et enregistres le à la racine de ton disk dur et pas ailleur !
    ( c.a.d. ici -> C:\Elibagla.XXXXX.exe )

    Puis clik droit sur ce dernier et choisi "renommé" : tapes " hldrrr.exe " .

    Note :
    /!\ Attention, un mauvais renommage rendra l'astuce et la désinfection inefficace !

    Déconnectes toi et fermes toutes tes applications en cours (si tu en as ...).

    Ensuite double-clic sur " hldrrr.exe " (ou Elibagla.exe renommé ):
    -->laisses la case "eliminar ficheros automaticamente" coché
    -->cliques sur"explorar"
    -->laisses-le travailler
    -->Enfin postes le rapport final qui sera dans "C:infosat.txt"

    PS : Si, dans le rapport, tu vois un texte semblable à celui-ci

    Por favor, envienos una muestra del fichero
    C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24
    a "virus@satinfo.es". Gracias;

    Envoies ce(s) fichier(s) (dans l'exemple C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

    L'outil a rencontré un fichier qu'il reconnaît mais ne sait pas encore éradiquer ...

    3-Une fois le scan terminé, redémarres le pc, c'est très important.
    Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
    Dès que le menu principal d'Elibagla apparaîtra :
    - Laisser la case "Eliminar ficheros automaticamente" coché
    - Clic sur "Explorar" pour lancer le scan complet du pc.
    Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître...

    --> postes moi aussi ce nouveau rapport et attends la suite ...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. noobiz Messages postés 636 Statut Membre 27
     
    Ok j'ai lancé ton logiciel.
    Je te poste ça dès que c'est fini.
    0
  7. noobiz Messages postés 636 Statut Membre 27
     
    Je fait deja le premier truc qu'on m'a dit et si ça ne marche pas le deuxième ^^
    0
  8. noobiz Messages postés 636 Statut Membre 27
     
    Fri Jul 25 10:37:04 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Fri Jul 25 10:37:13 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 6318
    Nº Total de Ficheros: 77921
    Nº de Ficheros Analizados: 12836
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Si j'ai compris, il y a plus rien?????? (j'y connait rien en espagnol)
    0
  9. noobiz Messages postés 636 Statut Membre 27
     
    JE refait la manip en renommant le logiciel hldrrr.exe ?
    0
  10. noobiz Messages postés 636 Statut Membre 27
     
    OK je relance la manip'
    merci de l'aide les gars
    0
  11. Utilisateur anonyme
     
    Re ,

    En effet essaye en le renommant je suis curieux de voir si il va quand même trouver qq chose.

    Dans le cas échéant on sort l'artillerie lourde.
    A++
    0
  12. noobiz Messages postés 636 Statut Membre 27
     
    Fri Jul 25 10:37:04 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Fri Jul 25 10:37:13 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 6318
    Nº Total de Ficheros: 77921
    Nº de Ficheros Analizados: 12836
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Fri Jul 25 10:47:14 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Fri Jul 25 10:48:27 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Fri Jul 25 10:48:32 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 2307
    Nº Total de Ficheros: 13686
    Nº de Ficheros Analizados: 550
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    Exploración Detenida por el Usuario.

    Fri Jul 25 10:49:15 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Fri Jul 25 10:49:29 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Fri Jul 25 10:49:38 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Fri Jul 25 10:49:39 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 6318
    Nº Total de Ficheros: 77919
    Nº de Ficheros Analizados: 12836
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Fri Jul 25 10:54:54 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Fri Jul 25 10:55:03 2008
    EliBagle v11.62 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 6318
    Nº Total de Ficheros: 77917
    Nº de Ficheros Analizados: 12836
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0
    0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    il n'a pas ete masqué --> tu l'as lancé en double-cliquant dessus ?
    0
    1. noobiz Messages postés 636 Statut Membre 27
       
      Oui
      0
  14. Utilisateur anonyme
     
    Re ,

    no match found :)

    *************************************************************

    /!\ Outils très puissant , ne pas reproduire la manip ci-dessous sur son pc sans y avoir été autorisé par une personne compétente /!\

    _________________________________________________

    1)Désactive ta restauration système
    Clic sur « Démarrer »
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu y coches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]


    _________________________________________________

    2)Télécharge ComboFix ici → http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Et enregistre le sur le bureau >>> /!\ IMPORTANT /!\

    Regardes ici, si tu souhaites te familiariser avec son utilisation: https://www.google.fr/?gws_rd=ssl

    AVANT d'utiliser ComboFix :
    → Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
    → Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection !!!, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). /!\

    3)Sur ton bureau double clic sur Combofix.exe.
    Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.

    /!\ PENDANT TOUTE la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme, ne touche pas à ta souris et ne surfe pas sur le net /!\

    Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).

    En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse le faire.

    Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.

    (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

    _________________________________________________

    4)Ensuite réactive ta restauration système
    Clic droit sur « Poste de travail », puis sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu décoches la case « Désactiver la restauration »
    Termine par [Appliquer] [OK]


    _________________________________________________

    Tutorial ( aide ):

    http://bibou0007.com/outils-specifiques-f78/tutorial-combofix-t121.htm

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    *************************************************************

    A+

    EDIT : rep à ceci : http://www.commentcamarche.net/forum/affich 7575820 hldrrr exe#15
    0
  15. noobiz Messages postés 636 Statut Membre 27
     
    oups j'ai mis les 3^^'
    0
  16. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Rien ... :-/

    Elibagla est installé à la racine de C où ailleurs ?
    0
    1. noobiz Messages postés 636 Statut Membre 27
       
      racine de C:
      0
  17. noobiz Messages postés 636 Statut Membre 27
     
    OK je fais ca. AUcun risque pour mon ordi? Et je dois rester devant l'ecran?
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Et je dois rester devant l'ecran --> oui c'est préférable , t'en éloignes pas trop ...
      0
    2. Utilisateur anonyme
       
      Re ,

      Si tu suis tout ce qui es marqué à la lettre , aucun soucis.

      Tu peux rester devant ton écran si tu veux , de toute façon le scan dure ~15 min ( tout est relatif après )

      A++
      0
  18. noobiz Messages postés 636 Statut Membre 27
     
    Vous pouvez répondre a ma question avant de faire la manip combofix?
    0
  19. noobiz Messages postés 636 Statut Membre 27
     
    il y a des risques pour mon pc? Et que fait beagle (yen a qui ont que ca a faire de creer des virus^^')
    0
    1. Utilisateur anonyme
       
      Non pas de risques SI tu suis tout ce qui est marqué.

      On va pas y passer la nuit quand même :)

      J'attends le rapport.

      A+


      EDIT : , Ske -> On à le don de poster en même temps x)
      0
  20. noobiz Messages postés 636 Statut Membre 27
     
    ok jeee manip'
    Désolé de vous embêter^^
    0
  21. noobiz Messages postés 636 Statut Membre 27
     
    Re:

    ComboFix 08-07-24.1 - nOObiz 2008-07-25 11:23:55.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.512 [GMT 2:00]
    Endroit: C:\Documents and Settings\nOObiz\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\InfoSat.txt
    C:\WINDOWS\system32\drivers\downld
    C:\WINDOWS\system32\drivers\downld\250031.exe
    C:\WINDOWS\system32\drivers\downld\272171.exe
    C:\WINDOWS\system32\drivers\downld\275203.exe
    C:\WINDOWS\system32\drivers\downld\286515.exe
    C:\WINDOWS\system32\drivers\mdelk.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-25 10:36 . 2008-07-25 10:36 55,819 --a------ C:\hldrrr.EXE
    2008-07-25 10:09 . 2008-07-25 10:09 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-07-25 10:09 . 2008-07-25 11:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-07-25 09:43 . 2008-07-25 09:43 <REP> d-------- C:\Program Files\AxBx
    2008-07-24 19:08 . 2008-07-24 19:08 <REP> d-------- C:\Program Files\Vos_Tutos_Offline
    2008-07-24 18:34 . 2008-07-24 18:41 <REP> d-------- C:\devkitPro
    2008-07-24 11:01 . 2008-07-24 11:09 <REP> d-------- C:\Program Files\xchat
    2008-07-24 11:01 . 2008-07-24 11:09 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\X-Chat 2
    2008-07-24 07:30 . 2008-07-24 07:30 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2008-07-23 14:35 . 2008-07-23 14:38 <REP> d-------- C:\Program Files\ma-config.com
    2008-07-23 14:35 . 2008-07-23 14:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ma-config.com
    2008-07-22 09:59 . 2008-07-22 10:35 <REP> d-------- C:\Documents and Settings\nOObiz\.designer
    2008-07-22 09:42 . 2008-07-22 09:42 <REP> d-------- C:\Program Files\Yahoo!
    2008-07-22 08:12 . 2008-07-22 08:12 <REP> d-------- C:\WINDOWS\Sun
    2008-07-21 18:07 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
    2008-07-21 18:07 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
    2008-07-21 18:05 . 2008-07-21 18:05 <REP> d-------- C:\WINDOWS\Desktop
    2008-07-21 12:22 . 2008-07-21 12:22 <REP> d-------- C:\Program Files\CCleaner
    2008-07-21 10:32 . 2008-07-24 18:43 <REP> d-------- C:\MinGW
    2008-07-21 10:16 . 2008-07-21 10:17 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
    2008-07-21 10:15 . 2008-07-21 10:16 <REP> d-------- C:\Program Files\Open_Office_2.4
    2008-07-21 10:01 . 2008-07-21 21:02 <REP> d-------- C:\Program Files\CodeBlocks
    2008-07-21 09:55 . 2008-04-13 11:47 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
    2008-07-21 09:55 . 2008-04-13 11:47 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
    2008-07-21 09:12 . 2008-07-21 09:12 <REP> d-------- C:\Program Files\Aplus DVD Copy
    2008-07-14 12:19 . 2008-07-20 11:53 <REP> d-------- C:\Program Files\Trillian
    2008-07-11 15:44 . 2008-07-24 13:54 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\FileZilla
    2008-07-11 15:41 . 2008-07-11 15:41 <REP> d-------- C:\Program Files\FileZilla FTP Client
    2008-07-11 14:17 . 2008-07-11 14:31 <REP> d-------- C:\Program Files\Dofus
    2008-07-11 10:11 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
    2008-07-11 10:10 . 2008-07-11 10:11 <REP> d-------- C:\Program Files\Java
    2008-07-11 10:10 . 2008-07-11 10:10 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2008-07-09 17:54 . 2008-07-12 13:25 <REP> d-------- C:\tmp
    2008-07-09 13:02 . 2008-07-22 10:42 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2008-07-08 18:53 . 2008-07-08 19:02 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\Dev-Cpp
    2008-07-08 12:41 . 2008-07-20 11:50 <REP> d-------- C:\Program Files\Bodom-Child - RaBBi
    2008-07-08 11:52 . 2006-08-23 11:24 526,184 --a------ C:\WINDOWS\system32\XceedCry.dll
    2008-07-08 11:52 . 2003-12-15 11:23 279,392 --a------ C:\WINDOWS\system32\XceedFtp.dll
    2008-07-08 11:46 . 2008-07-13 19:10 <REP> d-------- C:\Documents and Settings\nOObiz\.thumbnails
    2008-07-08 11:45 . 2008-07-24 09:42 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\gtk-2.0
    2008-07-08 11:27 . 2008-07-24 12:12 <REP> d-------- C:\Documents and Settings\nOObiz\.gimp-2.4
    2008-07-08 11:26 . 2008-07-08 11:26 <REP> d-------- C:\Program Files\GIMP-2.0
    2008-07-07 21:06 . 2008-07-07 21:06 <REP> d-------- C:\Program Files\Audacity
    2008-07-07 15:34 . 2008-07-07 15:34 <REP> d-------- C:\Program Files\ZaraSoft
    2008-07-07 15:32 . 2008-07-20 11:51 <REP> d-------- C:\Program Files\SHOUTcast
    2008-07-07 12:50 . 2008-07-22 13:42 <REP> d-------- C:\Program Files\Microsoft Silverlight
    2008-07-07 12:46 . 2008-07-07 13:04 <REP> d-------- C:\Program Files\Microsoft Visual Studio 9.0
    2008-07-07 12:46 . 2008-07-07 13:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-07-07 12:45 . 2008-07-07 12:45 <REP> d-------- C:\Program Files\Microsoft SDKs
    2008-07-07 12:40 . 2008-07-07 12:40 <REP> d-------- C:\Program Files\MSBuild
    2008-07-07 12:39 . 2008-07-07 12:42 <REP> d-------- C:\WINDOWS\system32\XPSViewer
    2008-07-07 12:39 . 2008-07-07 12:39 <REP> d-------- C:\Program Files\Reference Assemblies
    2008-07-07 12:39 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
    2008-07-07 11:28 . 2008-07-24 21:07 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\codeblocks
    2008-07-06 13:05 . 2008-07-06 13:06 <REP> d-------- C:\Program Files\Paint.NET
    2008-07-06 13:02 . 2008-07-06 13:02 <REP> d-------- C:\Program Files\Notepad++
    2008-07-06 13:02 . 2008-07-06 13:02 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\Notepad++
    2008-07-06 11:33 . 2008-07-06 11:33 <REP> d-------- C:\Program Files\Blender Foundation
    2008-07-06 11:33 . 2008-07-06 11:33 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\Blender Foundation
    2008-07-04 22:58 . 2008-06-28 15:49 1,454,080 --a------ C:\WINDOWS\MediaInfo.dll
    2008-07-04 22:56 . 2008-07-04 22:56 <REP> d-------- C:\Program Files\Xvid
    2008-07-04 22:56 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
    2008-07-04 22:56 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
    2008-07-04 22:56 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
    2008-07-04 11:27 . 2008-07-24 10:49 162,008 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-07-04 11:27 . 2008-07-24 10:49 111,928 --a------ C:\WINDOWS\system32\PnkBstrB.exe
    2008-07-04 11:26 . 2008-07-04 11:26 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
    2008-07-04 11:14 . 2008-07-20 11:11 <REP> d-------- C:\Program Files\WarRock
    2008-07-04 11:13 . 2008-07-04 11:13 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\InstallShield
    2008-07-03 22:01 . 2008-07-25 10:01 <REP> d-------- C:\Documents and Settings\nOObiz\Application Data\mIRC
    2008-07-03 19:23 . 2008-07-20 11:50 <REP> d-------- C:\Program Files\RPG Maker VX
    2008-07-03 18:55 . 2004-08-23 14:34 118,784 --a------ C:\WINDOWS\system32\msstdfmt.dll
    2008-07-03 18:54 . 2004-08-23 14:34 118,784 --a------ C:\WINDOWS\msstdfmt.dll
    2008-07-03 18:27 . 2008-07-03 18:28 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
    2008-07-03 17:54 . 2007-04-02 11:26 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0804.dll
    2008-07-03 17:54 . 2007-04-02 11:26 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0404.dll
    2008-07-03 17:54 . 2008-04-13 19:31 6,144 --a------ C:\WINDOWS\system32\kbd106n.dll
    2008-07-03 17:54 . 2008-04-13 19:31 6,144 --a------ C:\WINDOWS\system32\kbd101.dll
    2008-07-03 17:54 . 2008-04-13 19:31 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd106n.dll
    2008-07-03 17:54 . 2008-04-13 19:31 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbd101.dll
    2008-07-03 17:53 . 2008-04-13 19:31 7,168 --a------ C:\WINDOWS\system32\f3ahvoas.dll
    2008-07-03 17:53 . 2008-04-13 19:31 7,168 --a--c--- C:\WINDOWS\system32\dllcache\f3ahvoas.dll
    2008-07-03 17:53 . 2008-04-13 19:31 6,144 --a------ C:\WINDOWS\system32\kbdlk41j.dll
    2008-07-03 17:53 . 2008-04-13 19:31 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbdlk41j.dll
    2008-07-03 17:52 . 2008-04-13 19:33 218,112 --a--c--- C:\WINDOWS\system32\dllcache\c_g18030.dll
    2008-07-03 17:52 . 2008-04-13 19:33 218,112 --a------ C:\WINDOWS\system32\c_g18030.dll
    2008-07-03 17:52 . 2007-04-02 11:26 19,456 --a--c--- C:\WINDOWS\system32\dllcache\agt0412.dll
    2008-07-03 17:52 . 2008-04-13 19:31 7,168 --a------ C:\WINDOWS\system32\kbdibm02.dll
    2008-07-03 17:52 . 2008-04-13 19:31 7,168 --a--c--- C:\WINDOWS\system32\dllcache\kbdibm02.dll
    2008-07-03 17:52 . 2008-04-13 19:31 6,656 --a------ C:\WINDOWS\system32\kbdlk41a.dll
    2008-07-03 17:52 . 2008-04-13 19:31 6,656 --a--c--- C:\WINDOWS\system32\dllcache\kbdlk41a.dll
    2008-07-03 17:51 . 2008-04-13 19:31 6,144 --a------ C:\WINDOWS\system32\kbdax2.dll
    2008-07-03 17:51 . 2008-04-13 19:31 6,144 --a--c--- C:\WINDOWS\system32\dllcache\kbdax2.dll
    2008-07-03 17:48 . 2008-04-13 11:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
    2008-07-03 17:47 . 2008-07-03 20:51 <REP> d-------- C:\Documents and Settings\nOObiz\Contacts
    2008-07-03 17:46 . 2006-12-28 12:01 19,569 --a------ C:\WINDOWS\[u]0[/u]05488_.tmp
    2008-07-03 17:13 . 2008-07-03 17:13 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
    2008-07-03 17:12 . 2008-07-03 17:12 <REP> d-------- C:\WINDOWS\OPTIONS
    2008-07-03 17:12 . 2008-07-03 17:12 <REP> d-------- C:\Program Files\TRENDnet
    2008-07-03 17:12 . 2006-12-26 14:58 189,312 --a------ C:\WINDOWS\system32\drivers\RTL8187B.sys
    2008-07-03 16:42 . 2008-07-25 09:57 <REP> d-------- C:\Program Files\eMule
    2008-07-03 16:40 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
    2008-07-03 16:39 . 2008-07-03 16:39 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
    2008-07-03 16:34 . 2008-07-03 16:34 0 --a------ C:\WINDOWS\system32\RCBCOOL.cpl
    2008-07-03 16:32 . 2008-07-03 16:39 <REP> d-------- C:\Program Files\Windows Live Toolbar
    2008-07-03 16:32 . 2008-07-03 16:32 <REP> d-------- C:\Program Files\Windows Live Favorites
    2008-07-03 16:24 . 2008-07-03 16:28 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-07-03 16:23 . 2008-07-03 18:23 <REP> d-------- C:\Program Files\Windows Live
    2008-07-03 16:23 . 2008-07-03 16:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-07-03 16:20 . 2008-07-03 16:20 <REP> d-------- C:\Program Files\Universal Interactive
    2008-07-03 13:04 . 2008-07-03 13:04 <REP> d-------- C:\Program Files\Windows Media Connect 2
    2008-07-03 13:03 . 2008-07-12 16:24 <REP> d-------- C:\WINDOWS\system32\LogFiles
    2008-07-03 13:03 . 2008-07-03 13:03 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
    2008-07-03 13:01 . 2008-07-21 12:16 <REP> d--h----- C:\Program Files\InstallShield Installation Information
    2008-07-03 13:01 . 2008-07-03 13:01 <REP> d-------- C:\Program Files\ATI Technologies
    2008-07-03 12:49 . 2008-07-03 12:50 <REP> d-------- C:\WINDOWS\system32\URTTemp
    2008-07-03 12:48 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
    2008-07-03 12:48 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2008-07-03 12:48 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2008-07-03 12:48 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2008-07-03 12:48 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2008-07-03 12:48 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-07-03 12:48 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
    2008-07-03 12:48 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
    2008-07-03 12:48 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-02 15:20 --------- d-----w C:\Program Files\microsoft frontpage
    2008-07-02 15:17 --------- d-----w C:\Program Files\Services en ligne
    2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-05-09 10:55 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
    2008-05-09 10:55 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
    2008-05-09 10:55 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
    2008-05-09 10:55 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
    2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
    2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
    2008-05-07 05:11 1,294,336 ----a-w C:\WINDOWS\system32\quartz.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
    "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-04 11:13 102490]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-04 11:12 708698]
    "RMC"="C:\WINDOWS\system32\drivers\RMC.exe" [2005-08-17 16:46 24576]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 21:05 339968]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-04-12 23:21 14156800 C:\WINDOWS\RTHDCPL.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 19:34 15360]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
    @="Driver"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Wireless Configuration Utility HW.14.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Wireless Configuration Utility HW.14.lnk
    backup=C:\WINDOWS\pss\Wireless Configuration Utility HW.14.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-06-12 02:38 34672 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\WINDOWS\\system32\\dpvsetup.exe"=
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "43847:UDP"= 43847:UDP:emule
    "12247:TCP"= 12247:TCP:emule
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
    "8000:TCP"= 8000:TCP:fradio
    "8000:UDP"= 8000:UDP:radio

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
    R2 MTC0001_RMC;Remove Control Device;C:\WINDOWS\system32\drivers\RMC.sys [2005-04-22 15:24]
    R3 Slazldrv;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\SLDRV\slazldrv.sys [2005-01-05 02:48]
    R3 ULI5261;ULi Based Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN.SYS [2004-12-31 15:24]
    S3 ALI5261;Pilote NT de base Ethernet ALi;C:\WINDOWS\system32\DRIVERS\ALI5261.SYS [2001-08-17 20:11]
    S3 RTL8187B;TRENDnet TEW-424UB Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2006-12-26 14:58]

    *Newly Created Service* - CATCHME
    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-07-25 09:23:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
    - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
    .
    .
    ------- Supplementary Scan -------
    .
    R0 -: HKCU-Main,Start Page = hxxp://home.neuf.fr/
    O8 -: &Windows Live Search - C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 -: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites

    O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E} - hxxp://www.srtest.com/srl_bin/sysreqlab3.cab
    C:\WINDOWS\Downloaded Program Files\SysReqLab3.osd
    C:\WINDOWS\Downloaded Program Files\sysreqlab3.dll

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-25 11:25:52
    Windows 5.1.2600 Service Pack 3 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-25 11:27:23
    ComboFix-quarantined-files.txt 2008-07-25 09:27:04

    Pre-Run: 70,101,385,216 octets libres
    Post-Run: 70,086,508,544 octets libres

    242
    0
  • 1
  • 2
  • 3