Un virus don je ne connai pa le nom
2gr
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
svp aidez moi j'ai un virus qui me fatigue je ne connais pas le nom min ce virus recopie le document dans le document
ex: si mon document ce nomme MORPHUS le virus recopie morphus dans le document MORPHUS et quant on le supprime il revient et tous ca sa ce passe seulement dans les clés USB le virus est dans l'ordinateur min on le remarque dans les clés USB, ce virus est même sur la carte mémoire de mon portable aidez moi
svp aidez moi j'ai un virus qui me fatigue je ne connais pas le nom min ce virus recopie le document dans le document
ex: si mon document ce nomme MORPHUS le virus recopie morphus dans le document MORPHUS et quant on le supprime il revient et tous ca sa ce passe seulement dans les clés USB le virus est dans l'ordinateur min on le remarque dans les clés USB, ce virus est même sur la carte mémoire de mon portable aidez moi
A voir également:
- Un virus don je ne connai pa le nom
- Virus mcafee - Accueil - Piratage
- Trouver un nom avec une adresse ✓ - Forum Réseaux sociaux
- Rechercher un nom avec l'adresse ✓ - Forum Réseaux sociaux
- Changer le nom de son iphone - Guide
- Nom sonnerie iphone - Forum iPhone
6 réponses
Salut,
reformate l infection reviendra vu que c est sur les support amovibles
Télécharge HijackThis ici :
-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> ftp://ftp.commentcamarche.com/download/HJTInstall.exe
-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
-> Clique sur Install ensuite sur I Accept
-> Clique sur Do a scan system and save log file
-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
reformate l infection reviendra vu que c est sur les support amovibles
Télécharge HijackThis ici :
-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> ftp://ftp.commentcamarche.com/download/HJTInstall.exe
-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
-> Clique sur Install ensuite sur I Accept
-> Clique sur Do a scan system and save log file
-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:08, on 21/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adaptateur PCI sans fil-N\WLService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adaptateur PCI sans fil-N\WMP300N.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Documents and Settings\QG\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [6cfb5029] rundll32.exe "C:\WINDOWS\system32\nfdlyhie.dll",b
O4 - HKLM\..\Run: [BM6fc863b5] Rundll32.exe "C:\WINDOWS\system32\whiambci.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: WMP300NSvc - GEMTEKS - C:\Program Files\Adaptateur PCI sans fil-N\WLService.exe
Scan saved at 19:00:08, on 21/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adaptateur PCI sans fil-N\WLService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adaptateur PCI sans fil-N\WMP300N.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Documents and Settings\QG\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [6cfb5029] rundll32.exe "C:\WINDOWS\system32\nfdlyhie.dll",b
O4 - HKLM\..\Run: [BM6fc863b5] Rundll32.exe "C:\WINDOWS\system32\whiambci.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: WMP300NSvc - GEMTEKS - C:\Program Files\Adaptateur PCI sans fil-N\WLService.exe
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\QG\Application Data\smss.exe
C:\WINDOWS\BM6fc863b5.txt
C:\WINDOWS\BM6fc863b5.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cbmkbaom.ini
C:\WINDOWS\system32\chricxwh.dll
C:\WINDOWS\system32\eihyldfn.ini
C:\WINDOWS\system32\fnopxymf.ini
C:\WINDOWS\system32\fxshjghb.dll
C:\WINDOWS\system32\hhippgje.ini
C:\WINDOWS\system32\hkfxwwlp.dll
C:\WINDOWS\system32\lxmqrhqt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nfdlyhie.dll
C:\WINDOWS\system32\nfimgyfs.ini
C:\WINDOWS\system32\oexwoakj.ini
C:\WINDOWS\system32\pmnnLFyX.dll
C:\WINDOWS\system32\whiambci.dll
C:\WINDOWS\system32\xhfhohun.ini
C:\WINDOWS\system32\xixshqxr.ini
C:\WINDOWS\system32\XyFLnnmp.ini
C:\WINDOWS\system32\XyFLnnmp.ini2
C:\WINDOWS\system32\ybvnswha.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-21 to 2008-08-21 ))))))))))))))))))))))))))))))))))))
.
2008-08-21 21:15 . 2007-04-08 17:14 377,344 --a------ C:\Documents and Settings\QG\Application Data\smss.exe
2008-08-21 18:59 . 2008-08-21 18:59 <REP> d-------- C:\Program Files\Trend Micro
2008-08-21 17:47 . 2008-08-21 17:47 <REP> d-------- C:\Program Files\NCH Software
2008-08-21 15:43 . 2008-08-21 15:43 1,175 --a------ C:\WINDOWS\system32\xyjcfgak.exe
2008-08-21 13:38 . 2008-08-21 13:38 <REP> d-------- C:\Program Files\Sony Ericsson
2008-08-21 11:03 . 2008-08-21 11:03 1,175 --a------ C:\WINDOWS\system32\pntknlkq.exe
2008-08-21 11:01 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-21 11:01 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-08-20 10:02 . 2008-08-20 10:02 1,175 --a------ C:\WINDOWS\system32\jgtytrpr.exe
2008-08-19 23:51 . 2008-08-19 23:51 <REP> d-------- C:\Documents and Settings\QG\Application Data\Yahoo!
2008-08-19 23:51 . 2008-08-19 23:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-08-19 10:25 . 2008-08-19 10:25 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-08-19 10:12 . 2008-08-19 10:12 <REP> d-------- C:\Program Files\uTorrent
2008-08-19 10:12 . 2008-08-19 10:12 <REP> d-------- C:\Documents and Settings\QG\Application Data\uTorrent
2008-08-19 09:57 . 2008-08-19 09:57 1,175 --a------ C:\WINDOWS\system32\vdrbntfs.exe
2008-08-19 08:27 . 2008-08-19 08:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo!
2008-08-19 08:20 . 2008-08-19 08:20 <REP> d-------- C:\Program Files\Yahoo!
2008-08-18 23:47 . 2008-08-18 23:47 <REP> d-------- C:\Documents and Settings\QG\Application Data\vlc
2008-08-18 22:20 . 2008-08-18 22:20 <REP> d-------- C:\Program Files\VideoLAN
2008-08-17 17:08 . 2008-08-17 17:09 <REP> d-------- C:\Documents and Settings\QG\Application Data\MyLogoMaker
2008-08-17 17:06 . 2008-08-17 17:06 <REP> d-------- C:\Program Files\MySoftware
2008-08-17 14:57 . 1996-02-26 14:07 50,336 --a------ C:\WINDOWS\system\DUNZIP.DLL
2008-08-17 14:53 . 2008-08-17 14:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sage
2008-08-17 14:04 . 2008-08-17 14:04 <REP> d-------- C:\Documents and Settings\QG\Application Data\AdobeUM
2008-08-17 14:03 . 2008-08-17 14:03 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-08-17 14:00 . 2008-08-17 14:00 <REP> d-------- C:\Program Files\Sage
2008-08-17 13:50 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn040c.exe
2008-08-17 13:49 . 2008-08-17 13:49 <REP> d-------- C:\Documents and Settings\QG\WINDOWS
2008-08-17 13:38 . 2008-08-17 13:38 <REP> d-------- C:\GEBSAARI
2008-08-16 21:34 . 2008-08-16 21:34 <REP> d-------- C:\Program Files\H-Craft_Demo_v1_2
2008-08-16 21:29 . 2008-08-16 21:29 <REP> d-------- C:\Program Files\Fatal Hearts Demo
2008-08-16 20:02 . 2008-08-16 20:02 <REP> d-------- C:\Program Files\Eidos
2008-08-16 12:11 . 2008-08-16 12:11 <REP> d-------- C:\Documents and Settings\QG\Application Data\DivX
2008-08-16 11:34 . 2007-04-08 17:14 377,344 --a------ C:\Documents and Settings\QG\Application Data\svchost.exe
2008-08-16 10:07 . 2008-08-16 10:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-16 10:02 . 2005-05-04 14:45 2,890,240 --a------ C:\WINDOWS\system32\msi.dll
2008-08-16 10:02 . 2005-05-04 14:45 2,890,240 --a------ C:\WINDOWS\system32\dllcache\msi.dll
2008-08-16 10:02 . 2005-05-04 14:45 884,736 --a------ C:\WINDOWS\system32\msimsg.dll
2008-08-16 10:02 . 2005-05-04 14:45 884,736 --a------ C:\WINDOWS\system32\dllcache\msimsg.dll
2008-08-16 10:02 . 2005-05-04 14:45 271,360 --a------ C:\WINDOWS\system32\msihnd.dll
2008-08-16 10:02 . 2005-05-04 14:45 271,360 --a------ C:\WINDOWS\system32\dllcache\msihnd.dll
2008-08-16 10:02 . 2005-05-04 14:45 78,848 --a------ C:\WINDOWS\system32\msiexec.exe
2008-08-16 10:02 . 2005-05-04 14:45 78,848 --a------ C:\WINDOWS\system32\dllcache\msiexec.exe
2008-08-16 10:02 . 2005-05-04 14:45 15,360 --a------ C:\WINDOWS\system32\msisip.dll
2008-08-16 10:02 . 2005-05-04 14:45 15,360 --a------ C:\WINDOWS\system32\dllcache\msisip.dll
2008-08-15 23:24 . 2007-04-08 17:14 377,344 --a------ C:\WINDOWS\system32\Sexy Girls.scr
2008-08-15 23:24 . 2007-04-08 17:14 377,344 --a------ C:\Documents and Settings\QG\Application Data\lsass.exe
2008-08-15 23:17 . 2008-08-15 23:17 <REP> d-------- C:\Program Files\NCH Swift Sound
2008-08-15 23:17 . 2008-08-15 23:17 <REP> d-------- C:\Documents and Settings\QG\Application Data\NCH Swift Sound
2008-08-15 23:17 . 2008-08-15 23:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2008-08-15 22:37 . 2008-08-15 22:37 <REP> d-------- C:\Program Files\DivX
2008-08-15 22:01 . 2008-08-15 22:01 <REP> d-------- C:\Program Files\SuperCopier2
2008-08-15 14:39 . 2008-08-15 14:39 <REP> d--h----- C:\$AVG8.VAULT$
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\Program Files\AVG
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\Documents and Settings\QG\Application Data\AVGTOOLBAR
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-08-15 13:18 . 2008-08-18 10:07 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-08-15 13:18 . 2008-08-18 10:07 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-08-15 13:18 . 2008-08-18 10:07 12,936 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-08-15 13:18 . 2008-08-18 10:07 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-08-15 03:20 . 2008-08-15 03:20 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-08-15 03:20 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-15 00:20 . 2008-08-15 00:20 <REP> d-------- C:\Documents and Settings\QG\Application Data\MSNInstaller
2008-08-14 23:44 . 2008-08-14 23:44 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdpash.dll
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll
2008-08-14 23:32 . 2008-08-14 23:32 <REP> d-------- C:\Documents and Settings\QG\Application Data\MSN6
2008-08-14 23:32 . 2008-08-14 23:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSN6
2008-08-14 23:23 . 2008-08-14 23:23 <REP> d--hs---- C:\Recycled
2008-08-14 23:22 . 2004-08-13 23:50 359,040 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2008-08-14 23:22 . 2004-08-13 23:50 359,040 --a------ C:\WINDOWS\system32\dllcache\tcpip.sys
2008-08-14 23:16 . 2008-08-14 23:16 <REP> d---s---- C:\Documents and Settings\QG\UserData
2008-08-14 22:33 . 2008-08-14 22:33 1,160 --a------ C:\WINDOWS\mozver.dat
2008-08-14 20:16 . 2008-08-14 20:16 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-14 20:11 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-08-14 20:11 . 2008-08-14 20:11 385 --a------ C:\WINDOWS\ODBC.INI
2008-08-14 20:09 . 2008-08-14 20:09 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-08-14 20:04 . 2008-08-14 20:04 <REP> dr-h----- C:\MSOCache
2008-08-14 19:03 . 2008-08-14 19:03 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-08-14 19:03 . 2008-08-14 19:03 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2008-08-14 19:03 . 2008-08-14 19:03 <REP> d-------- C:\Program Files\Adaptateur PCI sans fil-N
2008-08-14 19:03 . 2006-05-14 22:30 999,168 --a------ C:\WINDOWS\system32\drivers\ar5416.sys
2008-08-14 19:03 . 2006-05-14 22:30 999,168 --a------ C:\WINDOWS\system32\ar5416.sys
2008-08-14 19:03 . 2003-10-13 15:30 94,208 --a------ C:\WINDOWS\system32\GTW32N50.dll
2008-08-14 19:03 . 2003-09-25 23:28 31,930 --a------ C:\WINDOWS\system32\GTNDIS3.VXD
2008-08-14 19:03 . 2008-08-14 19:03 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-08-14 19:03 . 2003-09-25 22:15 15,872 --a------ C:\WINDOWS\system32\GTNDIS5.sys
2008-08-14 19:02 . 2008-08-14 19:02 768 --a------ C:\WINDOWS\system32\WLAN.INI
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d--h----- C:\Documents and Settings\QG\Voisinage r‚seau
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d--h----- C:\Documents and Settings\QG\Voisinage d'impression
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d--h----- C:\Documents and Settings\QG\ModŠles
2008-08-14 19:00 . 2008-08-14 19:01 <REP> dr------- C:\Documents and Settings\QG\Mes documents
2008-08-14 19:00 . 2008-08-14 18:34 <REP> dr------- C:\Documents and Settings\QG\Menu D‚marrer
2008-08-14 19:00 . 2008-08-14 19:01 <REP> dr------- C:\Documents and Settings\QG\Favoris
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d-------- C:\Documents and Settings\QG\Bureau
2008-08-14 19:00 . 2008-08-14 19:00 <REP> d-------- C:\Documents and Settings\QG
2008-07-25 09:36 . 2008-07-25 09:36 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-07-25 09:36 . 2008-07-25 09:36 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-07-23 17:50 . 2008-07-23 17:50 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 17:50 . 2008-07-23 17:50 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-07-23 17:48 . 2008-07-23 17:48 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-07-23 17:48 . 2008-07-23 17:48 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-07-23 17:47 . 2008-07-23 17:47 634,880 --a------ C:\WINDOWS\system32\divxdec.ax
2008-07-23 17:47 . 2008-07-23 17:47 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax
2008-07-23 17:47 . 2008-07-23 17:47 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-07-23 17:47 . 2008-07-23 17:47 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-07-23 17:47 . 2008-07-23 17:47 416 --a------ C:\WINDOWS\system32\dtu100.dll.manifest
2008-07-23 17:47 . 2008-07-23 17:47 416 --a------ C:\WINDOWS\system32\dpl100.dll.manifest
2008-07-23 17:46 . 2008-07-23 17:46 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 17:52 --------- d-----w C:\Program Files\microsoft frontpage
2008-08-14 17:49 --------- d-----w C:\Program Files\Services en ligne
2008-07-23 16:50 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-23 16:50 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-23 16:50 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-04-08 16:14 377,344 ------w C:\WINDOWS\inf\smss.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 16:22 1667584]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2005-03-14 00:37 1057280]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 17:43 4670704]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-18 10:07 1235736]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoFind"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-08-18 10:07]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-18 10:07]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-18 10:07]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-18 10:07]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-08-18 10:07]
R2 WMP300NSvc;WMP300NSvc;C:\Program Files\Adaptateur PCI sans fil-N\WLService.exe WMP300N.exe []
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 15:53]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0719e218-6d61-11dd-b995-00065bc0ed8e}]
\Shell\AutoRun\command - c9hehpa.bat
\Shell\explore\Command - c9hehpa.bat
\Shell\open\Command - c9hehpa.bat
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-FrameWorkService - (no file)
HKLM-Run-6cfb5029 - C:\WINDOWS\system32\nfdlyhie.dll
HKLM-Run-BM6fc863b5 - C:\WINDOWS\system32\whiambci.dll
HKLM-Run-FrameWorkService - (no file)
Notify-qoMgffed - qoMgffed.dll
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\QG\Application Data\Mozilla\Firefox\Profiles\63wh6gdf.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.yahoo.com
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 21:14:13
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\QG\LOCALS~1\Temp\mc22.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\AVG\AVG8\AVGWDSVC.EXE
C:\PROGRAM FILES\ADAPTATEUR PCI SANS FIL-N\WLSERVICE.EXE
C:\Program Files\Adaptateur PCI sans fil-N\WMP300N.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\DOCUMENTS AND SETTINGS\QG\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-21 21:19:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-21 20:18:22
Pre-Run: 5,099,446,272 octets libres
Post-Run: 5,132,730,368 octets libres
254 --- E O F --- 2008-08-15 02:20:32
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\QG\Application Data\smss.exe
C:\WINDOWS\BM6fc863b5.txt
C:\WINDOWS\BM6fc863b5.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cbmkbaom.ini
C:\WINDOWS\system32\chricxwh.dll
C:\WINDOWS\system32\eihyldfn.ini
C:\WINDOWS\system32\fnopxymf.ini
C:\WINDOWS\system32\fxshjghb.dll
C:\WINDOWS\system32\hhippgje.ini
C:\WINDOWS\system32\hkfxwwlp.dll
C:\WINDOWS\system32\lxmqrhqt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nfdlyhie.dll
C:\WINDOWS\system32\nfimgyfs.ini
C:\WINDOWS\system32\oexwoakj.ini
C:\WINDOWS\system32\pmnnLFyX.dll
C:\WINDOWS\system32\whiambci.dll
C:\WINDOWS\system32\xhfhohun.ini
C:\WINDOWS\system32\xixshqxr.ini
C:\WINDOWS\system32\XyFLnnmp.ini
C:\WINDOWS\system32\XyFLnnmp.ini2
C:\WINDOWS\system32\ybvnswha.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-21 to 2008-08-21 ))))))))))))))))))))))))))))))))))))
.
2008-08-21 21:15 . 2007-04-08 17:14 377,344 --a------ C:\Documents and Settings\QG\Application Data\smss.exe
2008-08-21 18:59 . 2008-08-21 18:59 <REP> d-------- C:\Program Files\Trend Micro
2008-08-21 17:47 . 2008-08-21 17:47 <REP> d-------- C:\Program Files\NCH Software
2008-08-21 15:43 . 2008-08-21 15:43 1,175 --a------ C:\WINDOWS\system32\xyjcfgak.exe
2008-08-21 13:38 . 2008-08-21 13:38 <REP> d-------- C:\Program Files\Sony Ericsson
2008-08-21 11:03 . 2008-08-21 11:03 1,175 --a------ C:\WINDOWS\system32\pntknlkq.exe
2008-08-21 11:01 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-21 11:01 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-08-20 10:02 . 2008-08-20 10:02 1,175 --a------ C:\WINDOWS\system32\jgtytrpr.exe
2008-08-19 23:51 . 2008-08-19 23:51 <REP> d-------- C:\Documents and Settings\QG\Application Data\Yahoo!
2008-08-19 23:51 . 2008-08-19 23:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-08-19 10:25 . 2008-08-19 10:25 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-08-19 10:12 . 2008-08-19 10:12 <REP> d-------- C:\Program Files\uTorrent
2008-08-19 10:12 . 2008-08-19 10:12 <REP> d-------- C:\Documents and Settings\QG\Application Data\uTorrent
2008-08-19 09:57 . 2008-08-19 09:57 1,175 --a------ C:\WINDOWS\system32\vdrbntfs.exe
2008-08-19 08:27 . 2008-08-19 08:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo!
2008-08-19 08:20 . 2008-08-19 08:20 <REP> d-------- C:\Program Files\Yahoo!
2008-08-18 23:47 . 2008-08-18 23:47 <REP> d-------- C:\Documents and Settings\QG\Application Data\vlc
2008-08-18 22:20 . 2008-08-18 22:20 <REP> d-------- C:\Program Files\VideoLAN
2008-08-17 17:08 . 2008-08-17 17:09 <REP> d-------- C:\Documents and Settings\QG\Application Data\MyLogoMaker
2008-08-17 17:06 . 2008-08-17 17:06 <REP> d-------- C:\Program Files\MySoftware
2008-08-17 14:57 . 1996-02-26 14:07 50,336 --a------ C:\WINDOWS\system\DUNZIP.DLL
2008-08-17 14:53 . 2008-08-17 14:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sage
2008-08-17 14:04 . 2008-08-17 14:04 <REP> d-------- C:\Documents and Settings\QG\Application Data\AdobeUM
2008-08-17 14:03 . 2008-08-17 14:03 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-08-17 14:00 . 2008-08-17 14:00 <REP> d-------- C:\Program Files\Sage
2008-08-17 13:50 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn040c.exe
2008-08-17 13:49 . 2008-08-17 13:49 <REP> d-------- C:\Documents and Settings\QG\WINDOWS
2008-08-17 13:38 . 2008-08-17 13:38 <REP> d-------- C:\GEBSAARI
2008-08-16 21:34 . 2008-08-16 21:34 <REP> d-------- C:\Program Files\H-Craft_Demo_v1_2
2008-08-16 21:29 . 2008-08-16 21:29 <REP> d-------- C:\Program Files\Fatal Hearts Demo
2008-08-16 20:02 . 2008-08-16 20:02 <REP> d-------- C:\Program Files\Eidos
2008-08-16 12:11 . 2008-08-16 12:11 <REP> d-------- C:\Documents and Settings\QG\Application Data\DivX
2008-08-16 11:34 . 2007-04-08 17:14 377,344 --a------ C:\Documents and Settings\QG\Application Data\svchost.exe
2008-08-16 10:07 . 2008-08-16 10:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-16 10:02 . 2005-05-04 14:45 2,890,240 --a------ C:\WINDOWS\system32\msi.dll
2008-08-16 10:02 . 2005-05-04 14:45 2,890,240 --a------ C:\WINDOWS\system32\dllcache\msi.dll
2008-08-16 10:02 . 2005-05-04 14:45 884,736 --a------ C:\WINDOWS\system32\msimsg.dll
2008-08-16 10:02 . 2005-05-04 14:45 884,736 --a------ C:\WINDOWS\system32\dllcache\msimsg.dll
2008-08-16 10:02 . 2005-05-04 14:45 271,360 --a------ C:\WINDOWS\system32\msihnd.dll
2008-08-16 10:02 . 2005-05-04 14:45 271,360 --a------ C:\WINDOWS\system32\dllcache\msihnd.dll
2008-08-16 10:02 . 2005-05-04 14:45 78,848 --a------ C:\WINDOWS\system32\msiexec.exe
2008-08-16 10:02 . 2005-05-04 14:45 78,848 --a------ C:\WINDOWS\system32\dllcache\msiexec.exe
2008-08-16 10:02 . 2005-05-04 14:45 15,360 --a------ C:\WINDOWS\system32\msisip.dll
2008-08-16 10:02 . 2005-05-04 14:45 15,360 --a------ C:\WINDOWS\system32\dllcache\msisip.dll
2008-08-15 23:24 . 2007-04-08 17:14 377,344 --a------ C:\WINDOWS\system32\Sexy Girls.scr
2008-08-15 23:24 . 2007-04-08 17:14 377,344 --a------ C:\Documents and Settings\QG\Application Data\lsass.exe
2008-08-15 23:17 . 2008-08-15 23:17 <REP> d-------- C:\Program Files\NCH Swift Sound
2008-08-15 23:17 . 2008-08-15 23:17 <REP> d-------- C:\Documents and Settings\QG\Application Data\NCH Swift Sound
2008-08-15 23:17 . 2008-08-15 23:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2008-08-15 22:37 . 2008-08-15 22:37 <REP> d-------- C:\Program Files\DivX
2008-08-15 22:01 . 2008-08-15 22:01 <REP> d-------- C:\Program Files\SuperCopier2
2008-08-15 14:39 . 2008-08-15 14:39 <REP> d--h----- C:\$AVG8.VAULT$
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\Program Files\AVG
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\Documents and Settings\QG\Application Data\AVGTOOLBAR
2008-08-15 13:18 . 2008-08-15 13:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-08-15 13:18 . 2008-08-18 10:07 97,928 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
2008-08-15 13:18 . 2008-08-18 10:07 76,040 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
2008-08-15 13:18 . 2008-08-18 10:07 12,936 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
2008-08-15 13:18 . 2008-08-18 10:07 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
2008-08-15 03:20 . 2008-08-15 03:20 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-08-15 03:20 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-15 00:20 . 2008-08-15 00:20 <REP> d-------- C:\Documents and Settings\QG\Application Data\MSNInstaller
2008-08-14 23:44 . 2008-08-14 23:44 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdpash.dll
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll
2008-08-14 23:44 . 2006-05-12 05:09 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll
2008-08-14 23:32 . 2008-08-14 23:32 <REP> d-------- C:\Documents and Settings\QG\Application Data\MSN6
2008-08-14 23:32 . 2008-08-14 23:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSN6
2008-08-14 23:23 . 2008-08-14 23:23 <REP> d--hs---- C:\Recycled
2008-08-14 23:22 . 2004-08-13 23:50 359,040 --a------ C:\WINDOWS\system32\drivers\tcpip.sys
2008-08-14 23:22 . 2004-08-13 23:50 359,040 --a------ C:\WINDOWS\system32\dllcache\tcpip.sys
2008-08-14 23:16 . 2008-08-14 23:16 <REP> d---s---- C:\Documents and Settings\QG\UserData
2008-08-14 22:33 . 2008-08-14 22:33 1,160 --a------ C:\WINDOWS\mozver.dat
2008-08-14 20:16 . 2008-08-14 20:16 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-14 20:11 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-08-14 20:11 . 2008-08-14 20:11 385 --a------ C:\WINDOWS\ODBC.INI
2008-08-14 20:09 . 2008-08-14 20:09 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-08-14 20:04 . 2008-08-14 20:04 <REP> dr-h----- C:\MSOCache
2008-08-14 19:03 . 2008-08-14 19:03 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-08-14 19:03 . 2008-08-14 19:03 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2008-08-14 19:03 . 2008-08-14 19:03 <REP> d-------- C:\Program Files\Adaptateur PCI sans fil-N
2008-08-14 19:03 . 2006-05-14 22:30 999,168 --a------ C:\WINDOWS\system32\drivers\ar5416.sys
2008-08-14 19:03 . 2006-05-14 22:30 999,168 --a------ C:\WINDOWS\system32\ar5416.sys
2008-08-14 19:03 . 2003-10-13 15:30 94,208 --a------ C:\WINDOWS\system32\GTW32N50.dll
2008-08-14 19:03 . 2003-09-25 23:28 31,930 --a------ C:\WINDOWS\system32\GTNDIS3.VXD
2008-08-14 19:03 . 2008-08-14 19:03 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2008-08-14 19:03 . 2003-09-25 22:15 15,872 --a------ C:\WINDOWS\system32\GTNDIS5.sys
2008-08-14 19:02 . 2008-08-14 19:02 768 --a------ C:\WINDOWS\system32\WLAN.INI
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d--h----- C:\Documents and Settings\QG\Voisinage r‚seau
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d--h----- C:\Documents and Settings\QG\Voisinage d'impression
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d--h----- C:\Documents and Settings\QG\ModŠles
2008-08-14 19:00 . 2008-08-14 19:01 <REP> dr------- C:\Documents and Settings\QG\Mes documents
2008-08-14 19:00 . 2008-08-14 18:34 <REP> dr------- C:\Documents and Settings\QG\Menu D‚marrer
2008-08-14 19:00 . 2008-08-14 19:01 <REP> dr------- C:\Documents and Settings\QG\Favoris
2008-08-14 19:00 . 2008-08-14 18:34 <REP> d-------- C:\Documents and Settings\QG\Bureau
2008-08-14 19:00 . 2008-08-14 19:00 <REP> d-------- C:\Documents and Settings\QG
2008-07-25 09:36 . 2008-07-25 09:36 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-07-25 09:36 . 2008-07-25 09:36 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-07-23 17:50 . 2008-07-23 17:50 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 17:50 . 2008-07-23 17:50 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-07-23 17:48 . 2008-07-23 17:48 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-07-23 17:48 . 2008-07-23 17:48 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-07-23 17:47 . 2008-07-23 17:47 634,880 --a------ C:\WINDOWS\system32\divxdec.ax
2008-07-23 17:47 . 2008-07-23 17:47 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax
2008-07-23 17:47 . 2008-07-23 17:47 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-07-23 17:47 . 2008-07-23 17:47 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-07-23 17:47 . 2008-07-23 17:47 416 --a------ C:\WINDOWS\system32\dtu100.dll.manifest
2008-07-23 17:47 . 2008-07-23 17:47 416 --a------ C:\WINDOWS\system32\dpl100.dll.manifest
2008-07-23 17:46 . 2008-07-23 17:46 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 17:52 --------- d-----w C:\Program Files\microsoft frontpage
2008-08-14 17:49 --------- d-----w C:\Program Files\Services en ligne
2008-07-23 16:50 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-23 16:50 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-23 16:50 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-23 16:50 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-04-08 16:14 377,344 ------w C:\WINDOWS\inf\smss.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 16:22 1667584]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2005-03-14 00:37 1057280]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 17:43 4670704]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-18 10:07 1235736]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)
"NoRun"= 0 (0x0)
"NoFind"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"1"= cmd.exe
"2"= mmc.exe
"3"= rstrui.exe
"4"= regedit.exe
"5"= regedt32.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"C:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-08-18 10:07]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-18 10:07]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-18 10:07]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-18 10:07]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-08-18 10:07]
R2 WMP300NSvc;WMP300NSvc;C:\Program Files\Adaptateur PCI sans fil-N\WLService.exe WMP300N.exe []
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 15:53]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0719e218-6d61-11dd-b995-00065bc0ed8e}]
\Shell\AutoRun\command - c9hehpa.bat
\Shell\explore\Command - c9hehpa.bat
\Shell\open\Command - c9hehpa.bat
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-FrameWorkService - (no file)
HKLM-Run-6cfb5029 - C:\WINDOWS\system32\nfdlyhie.dll
HKLM-Run-BM6fc863b5 - C:\WINDOWS\system32\whiambci.dll
HKLM-Run-FrameWorkService - (no file)
Notify-qoMgffed - qoMgffed.dll
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\QG\Application Data\Mozilla\Firefox\Profiles\63wh6gdf.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.yahoo.com
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 21:14:13
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\QG\LOCALS~1\Temp\mc22.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\AVG\AVG8\AVGWDSVC.EXE
C:\PROGRAM FILES\ADAPTATEUR PCI SANS FIL-N\WLSERVICE.EXE
C:\Program Files\Adaptateur PCI sans fil-N\WMP300N.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\DOCUMENTS AND SETTINGS\QG\MENU DéMARRER\PROGRAMMES\DéMARRAGE\DOS OPTIMIZER.PIF
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-21 21:19:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-21 20:18:22
Pre-Run: 5,099,446,272 octets libres
Post-Run: 5,132,730,368 octets libres
254 --- E O F --- 2008-08-15 02:20:32
Copie le texte ci-dessous :
File::
C:\WINDOWS\system32\xyjcfgak.exe
C:\WINDOWS\system32\pntknlkq.exe
C:\WINDOWS\system32\jgtytrpr.exe
C:\WINDOWS\system32\Sexy Girls.scr
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0719e218-6d61-11dd-b995-00065bc0ed8e}]
DirLook::
C:\GEBSAARI
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
File::
C:\WINDOWS\system32\xyjcfgak.exe
C:\WINDOWS\system32\pntknlkq.exe
C:\WINDOWS\system32\jgtytrpr.exe
C:\WINDOWS\system32\Sexy Girls.scr
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0719e218-6d61-11dd-b995-00065bc0ed8e}]
DirLook::
C:\GEBSAARI
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
