Bonjour, j'ai un problème et je ne sais pas quoi faire... j'ai remarqué que mon Pc s'était mis a ramer un peu depuis une semaine. Je me suis dit que c'était probablement dut a un virus. J'avais Norton sur mon ordi mais bizarrement il refusait de démarrer. Je l'ai donc désinstallé puis réinstallé mais pas moyen, l'installation coupe au milieu. Je me suis donc retranché sur Avast!, je l'installe, et Paf, impossible de le démarrer une fois installé....Même problème avec Spybot ou NOD32. Quand j'essaye de lancer les programmes, je message d'erreur suivant s'affiche : "....exe n'est pas une application win32 valide". Franchement je sais plus quoi faire donc des idées seraient les bienvenus... Merci

Salut, Infection par un bagle : 1-IMPORTANT : je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire : Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour instaler un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;) Note : si tu as déjà le "Elibagla" sur ton PC -> supprimes le !!! 2- tu vas faire ceci dans l'ordre indiqué et en respectant les consignes . Rends toi sur ce site : http://www.zonavirus.com/datos/descargas/95/elibagla.asp A -Tout en bas de cette page tu trouveras un outil à télécharger, cliques sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) choisis --->"enregistrer " ---> et enregistres le à la racine de ton disk dur et pas ailleur ! ( c.a.d. ici -> C:\Elibagla.XXXXX.exe ) B- Puis clik droit sur ce dernier et choisi "renommé" : tapes " mdelk.exe " . Note : /!\ Attention, un mauvais renommage rendra l'astuce et la désinfection inefficace ! Déconnectes toi et fermes toutes tes applications en cours (si tu en as ...). C- Pour exécuter Elibagla renommé : Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (pour ouvrir le Menu Démarrer -> "Exécuter") Dans la boîte de dialogue "Exécuter" taper : cmd et valider Dans la fenêtre de "l'invite de commande" qui s'ouvra, taper : C:\mdelk.exe et Valider avec la touche [Entrée] L'outil ce lance : -->laisses la case "eliminar ficheros automaticamente" coché . -->cliques sur " explorar " . -->laisses-le travailler ==>Enfin postes le rapport final qui sera dans " C:\infosat.txt " PS : Si, dans le rapport, tu vois un texte semblable à celui-ci Por favor, envienos una muestra del fichero C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24 a "virus@satinfo.es". Gracias; Envoies ce(s) fichier(s) (dans l'exemple C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es). --> L'outil a rencontré un fichier qu'il reconnaît mais ne sait pas encore éradiquer ... 3- Une fois le scan terminé : redémarres le pc, c'est très important. Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection. Dès que le menu principal d'Elibagla apparaîtra : - Laisser la case "Eliminar ficheros automaticamente" cochée - Clic sur "Explorar" pour lancer le scan complet du pc. Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître ... --> postes ce nouveau rapport pour analyse et attends la suite ...

Virus :".exe n'est pas une application win32

Réponse 61 / 84

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 09:53

Bon ... rien pour Virustotal ...

Mais Al nous déniche une info qui nous permet de prendre la décision de supprimer ce driver .... ^^

on continue :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
C:\WINDOWS\DUMP6c17.tmp
C:\WINDOWS\DUMP6d40.tmp
C:\WINDOWS\DUMP61c7.tmp
C:\WINDOWS\DUMP737a.tmp
C:\WINDOWS\DUMP6929.tmp
C:\WINDOWS\DUMP6dcd.tmp
C:\WINDOWS\DUMP74d2.tmp
C:\WINDOWS\DUMP7445.tmp
C:\WINDOWS\DUMP74e1.tmp
C:\WINDOWS\DUMP68db.tmp
C:\WINDOWS\DUMP6716.tmp
C:\WINDOWS\DUMP6457.tmp
C:\WINDOWS\DUMP6e98.tmp
C:\WINDOWS\DUMP6205.tmp
C:\WINDOWS\DUMP6409.tmp
C:\WINDOWS\DUMP6820.tmp
C:\WINDOWS\DUMP7148.tmp
C:\WINDOWS\DUMP6978.tmp
C:\WINDOWS\System32\Drivers\SjyPkt.sys

Driver::
SjyPkt

Folder::
C:\WINDOWS\ERUNT
C:\WINDOWS\crack

DirLook::
C:\Program Files\Eset

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Réponse 62 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 10:14

ComboFix 08-08-31.01 - kevin 2008-09-02 10:04:17.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1590 [GMT 2:00]
Endroit: C:\Documents and Settings\kevin\Bureau\killbagle.exe
Command switches used :: C:\Documents and Settings\kevin\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\DUMP61c7.tmp
C:\WINDOWS\DUMP6205.tmp
C:\WINDOWS\DUMP6409.tmp
C:\WINDOWS\DUMP6457.tmp
C:\WINDOWS\DUMP6716.tmp
C:\WINDOWS\DUMP6820.tmp
C:\WINDOWS\DUMP68db.tmp
C:\WINDOWS\DUMP6929.tmp
C:\WINDOWS\DUMP6978.tmp
C:\WINDOWS\DUMP6c17.tmp
C:\WINDOWS\DUMP6d40.tmp
C:\WINDOWS\DUMP6dcd.tmp
C:\WINDOWS\DUMP6e98.tmp
C:\WINDOWS\DUMP7148.tmp
C:\WINDOWS\DUMP737a.tmp
C:\WINDOWS\DUMP7445.tmp
C:\WINDOWS\DUMP74d2.tmp
C:\WINDOWS\DUMP74e1.tmp
C:\WINDOWS\System32\Drivers\SjyPkt.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\crack
C:\WINDOWS\crack\klog.dat
C:\WINDOWS\DUMP61c7.tmp
C:\WINDOWS\DUMP6205.tmp
C:\WINDOWS\DUMP6409.tmp
C:\WINDOWS\DUMP6457.tmp
C:\WINDOWS\DUMP6716.tmp
C:\WINDOWS\DUMP6820.tmp
C:\WINDOWS\DUMP68db.tmp
C:\WINDOWS\DUMP6929.tmp
C:\WINDOWS\DUMP6978.tmp
C:\WINDOWS\DUMP6c17.tmp
C:\WINDOWS\DUMP6d40.tmp
C:\WINDOWS\DUMP6dcd.tmp
C:\WINDOWS\DUMP6e98.tmp
C:\WINDOWS\DUMP7148.tmp
C:\WINDOWS\DUMP737a.tmp
C:\WINDOWS\DUMP7445.tmp
C:\WINDOWS\DUMP74d2.tmp
C:\WINDOWS\DUMP74e1.tmp
C:\WINDOWS\ERUNT
C:\WINDOWS\ERUNT\SDFIX\default
C:\WINDOWS\ERUNT\SDFIX\ERDNT.CON
C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
C:\WINDOWS\ERUNT\SDFIX\ERDNT.INF
C:\WINDOWS\ERUNT\SDFIX\ERDNTDOS.LOC
C:\WINDOWS\ERUNT\SDFIX\ERDNTWIN.LOC
C:\WINDOWS\ERUNT\SDFIX\Find.txt
C:\WINDOWS\ERUNT\SDFIX\report.txt
C:\WINDOWS\ERUNT\SDFIX\SAM
C:\WINDOWS\ERUNT\SDFIX\SECURITY
C:\WINDOWS\ERUNT\SDFIX\software
C:\WINDOWS\ERUNT\SDFIX\system
C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
C:\WINDOWS\ERUNT\SDFIX_First_Run\default
C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.CON
C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.INF
C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNTDOS.LOC
C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNTWIN.LOC
C:\WINDOWS\ERUNT\SDFIX_First_Run\SAM
C:\WINDOWS\ERUNT\SDFIX_First_Run\SECURITY
C:\WINDOWS\ERUNT\SDFIX_First_Run\software
C:\WINDOWS\ERUNT\SDFIX_First_Run\system
C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\System32\Drivers\SjyPkt.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SJYPKT
-------\Service_SjyPkt

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-02 to 2008-09-02 ))))))))))))))))))))))))))))))))))))
.

2008-09-02 10:10 . 2008-09-02 10:10 <REP> d-------- C:\WINDOWS\system32\drivers\downld
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 23:26 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 22:20 . 2008-09-01 22:20 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-01 22:11 . 2008-09-01 22:27 <REP> d-------- C:\SDFix
2008-09-01 22:06 . 2008-09-01 22:06 <REP> d-------- C:\_OTMoveIt
2008-09-01 21:02 . 2008-09-01 21:02 <REP> d-------- C:\Program Files\Trend Micro
2008-09-01 20:57 . 2008-09-01 20:57 <REP> d-------- C:\Program Files\CCleaner
2008-09-01 14:37 . 2008-09-01 14:37 268 --ah----- C:\sqmdata01.sqm
2008-09-01 14:37 . 2008-09-01 14:37 244 --ah----- C:\sqmnoopt01.sqm
2008-09-01 13:47 . 2008-09-01 13:47 268 --ah----- C:\sqmdata00.sqm
2008-09-01 13:47 . 2008-09-01 13:47 244 --ah----- C:\sqmnoopt00.sqm
2008-09-01 12:06 . 2008-09-01 12:07 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-01 11:55 . 2008-09-01 11:55 <REP> d-------- C:\Program Files\Alwil Software
2008-09-01 11:35 . 2008-09-01 11:57 <REP> d-------- C:\Program Files\Eset
2008-09-01 11:35 . 2008-09-01 11:48 12 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-08-31 18:49 . 2008-08-31 18:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NortonInstaller
2008-08-30 14:53 . 2008-08-30 14:53 <REP> d-------- C:\Program Files\Windows Sidebar
2008-08-27 21:29 . 2008-09-02 10:10 <REP> d-------- C:\Program Files\DNA
2008-08-27 21:29 . 2008-08-27 21:29 <REP> d-------- C:\Program Files\BitTorrent
2008-08-27 21:29 . 2008-09-02 10:10 <REP> d-------- C:\Documents and Settings\kevin\Application Data\DNA
2008-08-27 21:29 . 2008-08-28 11:55 <REP> d-------- C:\Documents and Settings\kevin\Application Data\BitTorrent
2008-08-27 21:14 . 2008-08-27 21:25 <REP> d-------- C:\Program Files\Kazaa
2008-08-25 19:37 . 2008-08-25 19:37 8 -r-hs---- C:\WINDOWS\system32\CF4C20DC0A.sys
2008-08-25 18:51 . 2008-08-25 19:55 <REP> d-------- C:\Program Files\DivX
2008-08-25 18:51 . 2008-08-29 15:57 13,146 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-08-23 17:20 . 2000-10-03 19:54 2,998 --a------ C:\WINDOWS\setup.ico
2008-08-23 17:19 . 2008-08-23 17:19 <REP> d-------- C:\Program Files\Sierra On-Line
2008-08-23 17:19 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\ZeusIsUninst.Exe
2008-08-23 17:04 . 2008-08-23 17:04 <REP> d-------- C:\Documents and Settings\kevin\WINDOWS
2008-08-21 13:21 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-21 12:35 . 2004-08-19 16:04 2,150,400 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-08-19 12:40 . 2006-12-28 21:01 19,569 --a------ C:\WINDOWS\[u]0[/u]05227_.tmp
2008-08-17 16:36 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-08-17 16:36 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-08-13 12:11 . 2008-05-01 16:31 331,776 --a------ C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-11 16:42 . 2008-08-11 16:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\flightgear.org
2008-08-11 16:40 . 2008-08-11 16:55 <REP> d-------- C:\Program Files\FlightGear
2008-08-07 13:24 . 2008-08-07 16:42 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-08-06 21:43 . 2008-08-06 21:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Bioshock
2008-08-05 16:38 . 2008-08-05 16:38 <REP> d-------- C:\Program Files\BestGameEver
2008-08-04 22:55 . 2008-09-02 10:10 <REP> d-------- C:\Program Files\Steam
2008-08-04 18:29 . 2008-08-28 19:45 <REP> d-------- C:\Documents and Settings\kevin\Application Data\dvdcss
2008-08-03 22:17 . 2008-08-03 22:17 <REP> d-------- C:\Program Files\XviD
2008-08-03 22:17 . 2005-12-30 20:10 761,856 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-03 22:17 . 2005-12-30 20:18 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-03 22:17 . 2005-12-30 20:16 77,824 --a------ C:\WINDOWS\system32\xvid.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 08:08 98,304 ----a-w C:\WINDOWS\DUMP6716.tmp
2008-09-01 12:21 --------- d-----w C:\Program Files\Bonjour
2008-09-01 09:37 --------- d-----w C:\Program Files\Norton AntiVirus
2008-09-01 09:15 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-09-01 09:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-29 14:20 --------- d-----w C:\Documents and Settings\kevin\Application Data\Corel
2008-08-27 19:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-21 11:22 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-08-13 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-08-08 17:55 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-07 18:21 --------- d-----w C:\Program Files\Call of Duty Game of the Year Edition
2008-07-29 16:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Corel
2008-07-27 03:11 --------- d-----w C:\Program Files\MSBuild
2008-07-27 03:11 --------- d-----w C:\Program Files\Microsoft Works
2008-07-27 03:10 --------- d-----w C:\Program Files\Microsoft.NET
2008-07-27 03:08 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2008-07-26 19:33 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorksNewsReader
2008-07-26 19:32 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorks
2008-07-26 19:28 --------- d-----w C:\Program Files\Fichiers communs\SolidWorks Shared
2008-07-26 19:28 --------- d-----w C:\Documents and Settings\kevin\Application Data\DWGeditor
2008-07-26 19:27 --------- d-----w C:\Program Files\SolidWorks Installation Manager
2008-07-26 19:25 --------- d-----w C:\Program Files\Fichiers communs\eDrawings2007
2008-07-26 11:02 --------- d-----w C:\Program Files\Java
2008-07-26 11:01 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-07-25 21:16 --------- d-----w C:\Program Files\Windows Journal Viewer
2008-07-25 20:17 --------- d-----w C:\Program Files\iTunes
2008-07-25 20:17 --------- d-----w C:\Program Files\iPod
2008-07-22 16:27 --------- d-----w C:\Program Files\Apple Software Update
2008-07-21 17:53 --------- d-----w C:\Program Files\Vimicro
2008-07-21 17:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-21 16:15 --------- d-----w C:\Program Files\Infogrames
2008-07-20 23:33 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-07-20 10:35 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-07-20 10:30 --------- d-----w C:\Program Files\Windows Live
2008-07-20 10:29 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-07-20 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-07-19 22:11 --------- d-----w C:\Program Files\DAEMON Tools
2008-07-19 12:25 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-07-18 22:30 --------- d-----w C:\Program Files\MSXML 4.0
2008-07-18 13:23 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-18 12:59 --------- d-----w C:\Program Files\Common Files
2008-07-18 12:41 --------- d-----w C:\Program Files\GOA
2008-07-18 10:36 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-07-18 10:36 --------- d-----w C:\Program Files\TRENDnet
2008-07-16 19:22 --------- d-----w C:\Program Files\Fichiers communs\Corel
2008-07-16 19:22 --------- d-----w C:\Program Files\Corel
2008-07-10 07:35 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-07 11:02 --------- d-----w C:\Program Files\Warcraft III
2008-07-06 11:02 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-06 11:02 126,976 ----a-w C:\WINDOWS\War3Unin.exe
2008-07-06 10:59 --------- d-----w C:\Documents and Settings\kevin\Application Data\Apple Computer
2008-07-05 10:40 --------- d-----w C:\Program Files\GameShadow
2008-07-05 10:35 --------- d-----w C:\Program Files\OpenAL
2008-07-03 18:24 --------- d-----w C:\Documents and Settings\kevin\Application Data\InstallShield Installation Information
2008-06-27 12:23 22,328 ----a-w C:\Documents and Settings\kevin\Application Data\PnkBstrK.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Program Files\Eset ----

------- Sigcheck -------

2004-08-19 16:04 2017280 35567c8c50986c2bc5c3efd79cb045e4 C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-04-14 04:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ntkrnlpa.exe
2008-04-14 04:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-01_20.18.58.39 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-01 09:06:01 291,680 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-09-01 20:15:22 289,296 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-08-04 22:55 1271032]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-08-27 21:29 342848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="C:\Program Files\GIGABYTE\GEST\RUN.exe" [2006-01-21 05:02 716808]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 10:55 1966080]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-06 11:30 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-06 11:30 81920]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-11-09 00:00 128920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2004-06-09 15:37 40960]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-10 10:51 289064]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-11-06 11:30 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Ubisoft\\Ghost Recon Advanced Warfighter\\graw.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Program Files\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"E:\\Program files 2\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"E:\\Program files 2\\Eidos\\Conflict Denied Ops\\ConflictDeniedOps.exe"=
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"E:\\Program files 2\\Codemasters\\DiRT\\DiRT.exe"=
"E:\\Program files 2\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Documents and Settings\\kevin\\Mes documents\\Jeux\\StarWars- Jedi Knight 3 - Jedi Academy(complet)\\GameData\\jamp.exe"=
"E:\\Program files 2\\eMule\\emule.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Call of Duty Game of the Year Edition\\CoDMP.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
S3 GEST Service;GEST Service for program management.;C:\Program Files\GIGABYTE\GEST\GSvr.exe [2007-12-14 11:46]
S3 RTL8187B;TRENDnet TEW-424UB 54M USB Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-07-19 00:40]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 10:10:16
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\savedump.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-09-02 10:12:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-02 08:12:08
ComboFix2.txt 2008-09-01 20:57:29
ComboFix3.txt 2008-09-01 18:46:36
ComboFix4.txt 2008-09-01 18:19:18

Pre-Run: 14,266,130,432 octets libres
Post-Run: 14,252,453,888 octets libres

325 --- E O F --- 2008-08-13 22:03:51

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:12:32, on 02/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Deer Hunter 2005 Registration.lnk = E:\Program files 2\Deer Hunter 2005\ATR1.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS3\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 212.30.96.108,212.30.124.146
O17 - HKLM\System\CS4\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

Réponse 63 / 84

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 11:08

Bon ...

une chose revient systémathiquement et c'est pas bon signe :
C:\WINDOWS\system32\drivers\downld

Le Bagle est encore là ...

donc re-essayes ce-ci :

1- Télécharges ceci :
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

double clique dessus ( cela répare la clé safeboot qui gère le mode sans echec ).

2- * Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Lances ComboFix .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Redémarres le PC manueelement si il le faut ...

Postes le rapport Combofix pour analyse ...

Réponse 64 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 16:42

ComboFix 08-08-31.01 - kevin 2008-09-02 16:34:41.5 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1776 [GMT 2:00]
Endroit: C:\Documents and Settings\kevin\Bureau\killbagle.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\downld

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-02 to 2008-09-02 ))))))))))))))))))))))))))))))))))))
.

2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 23:26 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 22:20 . 2008-09-01 22:20 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-01 22:11 . 2008-09-01 22:27 <REP> d-------- C:\SDFix
2008-09-01 22:06 . 2008-09-01 22:06 <REP> d-------- C:\_OTMoveIt
2008-09-01 21:02 . 2008-09-01 21:02 <REP> d-------- C:\Program Files\Trend Micro
2008-09-01 20:57 . 2008-09-01 20:57 <REP> d-------- C:\Program Files\CCleaner
2008-09-01 14:37 . 2008-09-01 14:37 268 --ah----- C:\sqmdata01.sqm
2008-09-01 14:37 . 2008-09-01 14:37 244 --ah----- C:\sqmnoopt01.sqm
2008-09-01 13:47 . 2008-09-01 13:47 268 --ah----- C:\sqmdata00.sqm
2008-09-01 13:47 . 2008-09-01 13:47 244 --ah----- C:\sqmnoopt00.sqm
2008-09-01 12:06 . 2008-09-01 12:07 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-01 11:55 . 2008-09-01 11:55 <REP> d-------- C:\Program Files\Alwil Software
2008-09-01 11:35 . 2008-09-01 11:57 <REP> d-------- C:\Program Files\Eset
2008-09-01 11:35 . 2008-09-01 11:48 12 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-08-31 18:49 . 2008-08-31 18:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NortonInstaller
2008-08-30 14:53 . 2008-08-30 14:53 <REP> d-------- C:\Program Files\Windows Sidebar
2008-08-27 21:29 . 2008-09-02 16:24 <REP> d-------- C:\Program Files\DNA
2008-08-27 21:29 . 2008-08-27 21:29 <REP> d-------- C:\Program Files\BitTorrent
2008-08-27 21:29 . 2008-09-02 16:31 <REP> d-------- C:\Documents and Settings\kevin\Application Data\DNA
2008-08-27 21:29 . 2008-08-28 11:55 <REP> d-------- C:\Documents and Settings\kevin\Application Data\BitTorrent
2008-08-27 21:14 . 2008-08-27 21:25 <REP> d-------- C:\Program Files\Kazaa
2008-08-25 19:37 . 2008-08-25 19:37 8 -r-hs---- C:\WINDOWS\system32\CF4C20DC0A.sys
2008-08-25 18:51 . 2008-08-25 19:55 <REP> d-------- C:\Program Files\DivX
2008-08-25 18:51 . 2008-08-29 15:57 13,146 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-08-23 17:20 . 2000-10-03 19:54 2,998 --a------ C:\WINDOWS\setup.ico
2008-08-23 17:19 . 2008-08-23 17:19 <REP> d-------- C:\Program Files\Sierra On-Line
2008-08-23 17:19 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\ZeusIsUninst.Exe
2008-08-23 17:04 . 2008-08-23 17:04 <REP> d-------- C:\Documents and Settings\kevin\WINDOWS
2008-08-21 13:21 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-21 12:35 . 2004-08-19 16:04 2,150,400 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-08-19 12:40 . 2006-12-28 21:01 19,569 --a------ C:\WINDOWS\[u]0[/u]05227_.tmp
2008-08-17 16:36 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-08-17 16:36 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-08-13 12:11 . 2008-05-01 16:31 331,776 --a------ C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-11 16:42 . 2008-08-11 16:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\flightgear.org
2008-08-11 16:40 . 2008-08-11 16:55 <REP> d-------- C:\Program Files\FlightGear
2008-08-07 13:24 . 2008-08-07 16:42 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-08-06 21:43 . 2008-08-06 21:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Bioshock
2008-08-05 16:38 . 2008-08-05 16:38 <REP> d-------- C:\Program Files\BestGameEver
2008-08-04 22:55 . 2008-09-02 16:25 <REP> d-------- C:\Program Files\Steam
2008-08-04 18:29 . 2008-08-28 19:45 <REP> d-------- C:\Documents and Settings\kevin\Application Data\dvdcss
2008-08-03 22:17 . 2008-08-03 22:17 <REP> d-------- C:\Program Files\XviD
2008-08-03 22:17 . 2005-12-30 20:10 761,856 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-03 22:17 . 2005-12-30 20:18 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-03 22:17 . 2005-12-30 20:16 77,824 --a------ C:\WINDOWS\system32\xvid.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 12:21 --------- d-----w C:\Program Files\Bonjour
2008-09-01 09:37 --------- d-----w C:\Program Files\Norton AntiVirus
2008-09-01 09:15 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-09-01 09:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-29 14:20 --------- d-----w C:\Documents and Settings\kevin\Application Data\Corel
2008-08-27 19:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-21 11:22 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-08-13 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-08-08 17:55 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-07 18:21 --------- d-----w C:\Program Files\Call of Duty Game of the Year Edition
2008-07-29 16:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Corel
2008-07-27 03:11 --------- d-----w C:\Program Files\MSBuild
2008-07-27 03:11 --------- d-----w C:\Program Files\Microsoft Works
2008-07-27 03:10 --------- d-----w C:\Program Files\Microsoft.NET
2008-07-27 03:08 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2008-07-26 19:33 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorksNewsReader
2008-07-26 19:32 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorks
2008-07-26 19:28 --------- d-----w C:\Program Files\Fichiers communs\SolidWorks Shared
2008-07-26 19:28 --------- d-----w C:\Documents and Settings\kevin\Application Data\DWGeditor
2008-07-26 19:27 --------- d-----w C:\Program Files\SolidWorks Installation Manager
2008-07-26 19:25 --------- d-----w C:\Program Files\Fichiers communs\eDrawings2007
2008-07-26 11:02 --------- d-----w C:\Program Files\Java
2008-07-26 11:01 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-07-25 21:16 --------- d-----w C:\Program Files\Windows Journal Viewer
2008-07-25 20:17 --------- d-----w C:\Program Files\iTunes
2008-07-25 20:17 --------- d-----w C:\Program Files\iPod
2008-07-22 16:27 --------- d-----w C:\Program Files\Apple Software Update
2008-07-21 17:53 --------- d-----w C:\Program Files\Vimicro
2008-07-21 17:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-21 16:15 --------- d-----w C:\Program Files\Infogrames
2008-07-20 23:33 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-07-20 10:35 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-07-20 10:30 --------- d-----w C:\Program Files\Windows Live
2008-07-20 10:29 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-07-20 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-07-19 22:11 --------- d-----w C:\Program Files\DAEMON Tools
2008-07-19 12:25 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-07-18 22:30 --------- d-----w C:\Program Files\MSXML 4.0
2008-07-18 13:23 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-18 13:23 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-18 12:59 --------- d-----w C:\Program Files\Common Files
2008-07-18 12:41 --------- d-----w C:\Program Files\GOA
2008-07-18 10:36 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-07-18 10:36 --------- d-----w C:\Program Files\TRENDnet
2008-07-16 19:22 --------- d-----w C:\Program Files\Fichiers communs\Corel
2008-07-16 19:22 --------- d-----w C:\Program Files\Corel
2008-07-10 07:35 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-07-07 11:02 --------- d-----w C:\Program Files\Warcraft III
2008-07-06 11:02 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-06 11:02 126,976 ----a-w C:\WINDOWS\War3Unin.exe
2008-07-06 10:59 --------- d-----w C:\Documents and Settings\kevin\Application Data\Apple Computer
2008-07-05 10:40 --------- d-----w C:\Program Files\GameShadow
2008-07-05 10:35 418,480 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-07-05 10:35 115,432 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-07-05 10:35 --------- d-----w C:\Program Files\OpenAL
2008-07-03 18:24 --------- d-----w C:\Documents and Settings\kevin\Application Data\InstallShield Installation Information
2008-06-27 12:23 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-06-27 12:23 22,328 ----a-w C:\Documents and Settings\kevin\Application Data\PnkBstrK.sys
2008-06-27 12:16 1,506 ----a-w C:\WINDOWS\system32\ealregsnapshot1.reg
2008-06-27 11:57 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-27 10:49 82,432 ----a-w C:\WINDOWS\system32\msxml4r.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
.

------- Sigcheck -------

2004-08-19 16:04 2017280 35567c8c50986c2bc5c3efd79cb045e4 C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-04-14 04:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ntkrnlpa.exe
2008-04-14 04:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-01_20.18.58.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-02 05:39:53 1,894 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{45401DB8-C8CE-42BB-B773-504A38F3C06E}.bin
- 2008-09-01 09:06:01 291,680 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-09-01 20:15:22 289,296 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2007-11-30 11:19:06 18,296 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:29 18,296 ------w C:\WINDOWS\system32\spmsg.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-08-04 22:55 1271032]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-08-27 21:29 342848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="C:\Program Files\GIGABYTE\GEST\RUN.exe" [2006-01-21 05:02 716808]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 10:55 1966080]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-06 11:30 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-06 11:30 81920]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-11-09 00:00 128920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2004-06-09 15:37 40960]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-10 10:51 289064]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-11-06 11:30 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

C:\Documents and Settings\kevin\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50 113664]
Deer Hunter 2005 Registration.lnk - E:\Program files 2\Deer Hunter 2005\ATR1.EXE [2004-08-27 21:30:18 4947968]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Wireless Configuration Utility.lnk - C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe [2007-07-10 06:43:00 634880]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Ubisoft\\Ghost Recon Advanced Warfighter\\graw.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Program Files\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"E:\\Program files 2\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"E:\\Program files 2\\Eidos\\Conflict Denied Ops\\ConflictDeniedOps.exe"=
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"E:\\Program files 2\\Codemasters\\DiRT\\DiRT.exe"=
"E:\\Program files 2\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Documents and Settings\\kevin\\Mes documents\\Jeux\\StarWars- Jedi Knight 3 - Jedi Academy(complet)\\GameData\\jamp.exe"=
"E:\\Program files 2\\eMule\\emule.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Call of Duty Game of the Year Edition\\CoDMP.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=

S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
S3 GEST Service;GEST Service for program management.;C:\Program Files\GIGABYTE\GEST\GSvr.exe [2007-12-14 11:46]
S3 RTL8187B;TRENDnet TEW-424UB 54M USB Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-07-19 00:40]

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\kevin\Application Data\Mozilla\Firefox\Profiles\soiq6t16.default\
FF -: plugin - C:\Program Files\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 16:36:54
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-02 16:37:48
ComboFix-quarantined-files.txt 2008-09-02 14:37:35
ComboFix2.txt 2008-09-02 08:12:11
ComboFix3.txt 2008-09-01 20:57:29
ComboFix4.txt 2008-09-01 18:46:36
ComboFix5.txt 2008-09-02 14:34:22

Pre-Run: 14,225,874,944 octets libres
Post-Run: 14,212,722,688 octets libres

267 --- E O F --- 2008-09-02 08:19:09

Réponse 65 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 16:48

on dirait qu'il viens de le supprimer nan?

Réponse 66 / 84

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 16:48

Bon ... on va voir ^^ ... rien n'est sûr ....

refais un coup de CCleaner ( registe compris ) .

Si tu as encore Elibagla sur ton bureau , supprimes le et fait ce-ci :

* Télécharges Kb2 sur ce lien : (merci a moe pour la réalisation !) :
http://sd-1.archive-host.com/membres/up/1366464061/KB2.exe
---> copies le sur ton bureau ( et pas ailleurs! ) .

* Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Tout en bas de cette page tu trouveras un outil à télécharger,
cliques sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
et instales ce fichier sur le bureau (et pas ailleurs !).

Etape 1 :

Si tu as connecté une cle usb depuis que tu as été infecté branche la sans l´ouvrir...

Etape 2 :

Sur ton bureau double clic sur KB.exe.
Tu verras apparaître sur le bureau, un raccourci nommé " KillB ".
Fais glisser le fichier Elibagla.exe sur ce raccourci, exactement comme si tu voulais le déposer dans un dossier.

Elibagla va se lancer automatiquement.
Cliques sur " Ok " aux premières boîtes de dialogue qui peuvent apparaître avant le menu principal de l'outil :

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.18
a "virus@satinfo.es". Gracias
et/ou
Eliminando Gusano BAGLE

Une fois fait, le menu principal d'Elibagla apparaîtra :

- Laisses la case "Eliminar ficheros automaticamente" coché
- Cliques sur "Explorar" pour lancer le scan.

ATTENTION :
/!\ Pendant toute la durée du scan, n'utilises pas ton pc, n'ouvre aucun programmes et laisses l'outil travailler. s
/!\ Ne redemarres pas le pc après le scan.

Le scan terminé, copie/colle sur le forum le rapport situé dans C:\KB\KB.txt et celui d'Elibagla situé dans C:\Infosat.txt et attends la suite ...

Réponse 67 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 17:00

Tue Sep 02 16:56:22 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Sep 02 16:56:25 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7341
Nº Total de Ficheros: 78947
Nº de Ficheros Analizados: 11448
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Réponse 68 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 17:01

KB : Exécuté le : 02/09/2008 à 16:56:21

+- Processus infectieux actifs :
- Aucun processus infectieux en cours d'utilisation.

+- Affichage des fichiers cachés :
- Réparé.

+- Service Ndisuio :

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
Start REG_DWORD 4 (0x4)

[SC] ChangeServiceConfig SUCCESS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
Start REG_DWORD 3 (0x3)

+- Fin du rapport

Réponse 69 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 17:03

est ce que tout ça veux dire que je suis guéri ?

Réponse 70 / 84

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 17:07

De bagle ... Peu-être bien ^^

Pour vérifier :

1- redémarres ton PC ! important

2- Refais la manipe avec Combofix ( en mode normal ) + un nouvel hijackthis pour analyse ...

Réponse 71 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 17:18

ComboFix 08-09-01.03 - kevin 2008-09-02 17:15:23.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1599 [GMT 2:00]
Endroit: C:\Documents and Settings\kevin\Bureau\killbagle.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\InfoSat.txt
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\drivers\downld
E:\Autorun.inf
G:\Autorun.inf
H:\autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-02 to 2008-09-02 ))))))))))))))))))))))))))))))))))))
.

2008-09-02 17:05 . 2008-04-06 21:39 103,268 -r-hs---- C:\pa39xth.cmd
2008-09-02 16:55 . 2008-09-02 16:56 <REP> d-------- C:\KB
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 23:26 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 22:20 . 2008-09-01 22:20 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-01 22:11 . 2008-09-01 22:27 <REP> d-------- C:\SDFix
2008-09-01 22:06 . 2008-09-01 22:06 <REP> d-------- C:\_OTMoveIt
2008-09-01 21:02 . 2008-09-01 21:02 <REP> d-------- C:\Program Files\Trend Micro
2008-09-01 20:57 . 2008-09-01 20:57 <REP> d-------- C:\Program Files\CCleaner
2008-09-01 14:37 . 2008-09-01 14:37 268 --ah----- C:\sqmdata01.sqm
2008-09-01 14:37 . 2008-09-01 14:37 244 --ah----- C:\sqmnoopt01.sqm
2008-09-01 13:47 . 2008-09-01 13:47 268 --ah----- C:\sqmdata00.sqm
2008-09-01 13:47 . 2008-09-01 13:47 244 --ah----- C:\sqmnoopt00.sqm
2008-09-01 12:06 . 2008-09-01 12:07 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-01 11:55 . 2008-09-01 11:55 <REP> d-------- C:\Program Files\Alwil Software
2008-09-01 11:35 . 2008-09-01 11:57 <REP> d-------- C:\Program Files\Eset
2008-09-01 11:35 . 2008-09-01 11:48 12 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-08-31 18:49 . 2008-08-31 18:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NortonInstaller
2008-08-30 14:53 . 2008-08-30 14:53 <REP> d-------- C:\Program Files\Windows Sidebar
2008-08-27 21:29 . 2008-09-02 17:12 <REP> d-------- C:\Program Files\DNA
2008-08-27 21:29 . 2008-08-27 21:29 <REP> d-------- C:\Program Files\BitTorrent
2008-08-27 21:29 . 2008-09-02 17:12 <REP> d-------- C:\Documents and Settings\kevin\Application Data\DNA
2008-08-27 21:29 . 2008-08-28 11:55 <REP> d-------- C:\Documents and Settings\kevin\Application Data\BitTorrent
2008-08-27 21:14 . 2008-08-27 21:25 <REP> d-------- C:\Program Files\Kazaa
2008-08-25 19:37 . 2008-08-25 19:37 8 -r-hs---- C:\WINDOWS\system32\CF4C20DC0A.sys
2008-08-25 18:51 . 2008-08-25 19:55 <REP> d-------- C:\Program Files\DivX
2008-08-25 18:51 . 2008-08-29 15:57 13,146 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-08-23 17:20 . 2000-10-03 19:54 2,998 --a------ C:\WINDOWS\setup.ico
2008-08-23 17:19 . 2008-08-23 17:19 <REP> d-------- C:\Program Files\Sierra On-Line
2008-08-23 17:19 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\ZeusIsUninst.Exe
2008-08-23 17:04 . 2008-08-23 17:04 <REP> d-------- C:\Documents and Settings\kevin\WINDOWS
2008-08-21 13:21 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-21 12:35 . 2004-08-19 16:04 2,150,400 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-08-19 12:40 . 2006-12-28 21:01 19,569 --a------ C:\WINDOWS\[u]0[/u]05227_.tmp
2008-08-17 16:36 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-08-17 16:36 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-08-13 12:11 . 2008-05-01 16:31 331,776 --a------ C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-11 16:42 . 2008-08-11 16:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\flightgear.org
2008-08-11 16:40 . 2008-08-11 16:55 <REP> d-------- C:\Program Files\FlightGear
2008-08-07 13:24 . 2008-08-07 16:42 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-08-06 21:43 . 2008-08-06 21:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Bioshock
2008-08-05 16:38 . 2008-08-05 16:38 <REP> d-------- C:\Program Files\BestGameEver
2008-08-04 22:55 . 2008-09-02 17:13 <REP> d-------- C:\Program Files\Steam
2008-08-04 18:29 . 2008-08-28 19:45 <REP> d-------- C:\Documents and Settings\kevin\Application Data\dvdcss
2008-08-03 22:17 . 2008-08-03 22:17 <REP> d-------- C:\Program Files\XviD
2008-08-03 22:17 . 2005-12-30 20:10 761,856 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-03 22:17 . 2005-12-30 20:18 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-03 22:17 . 2005-12-30 20:16 77,824 --a------ C:\WINDOWS\system32\xvid.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 12:21 --------- d-----w C:\Program Files\Bonjour
2008-09-01 09:37 --------- d-----w C:\Program Files\Norton AntiVirus
2008-09-01 09:15 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-09-01 09:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-29 14:20 --------- d-----w C:\Documents and Settings\kevin\Application Data\Corel
2008-08-27 19:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-21 11:22 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-08-13 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-08-08 17:55 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-07 18:21 --------- d-----w C:\Program Files\Call of Duty Game of the Year Edition
2008-07-29 16:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Corel
2008-07-27 03:11 --------- d-----w C:\Program Files\MSBuild
2008-07-27 03:11 --------- d-----w C:\Program Files\Microsoft Works
2008-07-27 03:10 --------- d-----w C:\Program Files\Microsoft.NET
2008-07-27 03:08 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2008-07-26 19:33 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorksNewsReader
2008-07-26 19:32 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorks
2008-07-26 19:28 --------- d-----w C:\Program Files\Fichiers communs\SolidWorks Shared
2008-07-26 19:28 --------- d-----w C:\Documents and Settings\kevin\Application Data\DWGeditor
2008-07-26 19:27 --------- d-----w C:\Program Files\SolidWorks Installation Manager
2008-07-26 19:25 --------- d-----w C:\Program Files\Fichiers communs\eDrawings2007
2008-07-26 11:02 --------- d-----w C:\Program Files\Java
2008-07-26 11:01 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-07-25 21:16 --------- d-----w C:\Program Files\Windows Journal Viewer
2008-07-25 20:17 --------- d-----w C:\Program Files\iTunes
2008-07-25 20:17 --------- d-----w C:\Program Files\iPod
2008-07-22 16:27 --------- d-----w C:\Program Files\Apple Software Update
2008-07-21 17:53 --------- d-----w C:\Program Files\Vimicro
2008-07-21 17:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-21 16:15 --------- d-----w C:\Program Files\Infogrames
2008-07-20 23:33 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-07-20 10:35 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-07-20 10:30 --------- d-----w C:\Program Files\Windows Live
2008-07-20 10:29 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-07-20 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-07-19 22:11 --------- d-----w C:\Program Files\DAEMON Tools
2008-07-19 12:25 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-07-18 22:30 --------- d-----w C:\Program Files\MSXML 4.0
2008-07-18 13:23 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-18 13:23 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-18 12:59 --------- d-----w C:\Program Files\Common Files
2008-07-18 12:41 --------- d-----w C:\Program Files\GOA
2008-07-18 10:36 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-07-18 10:36 --------- d-----w C:\Program Files\TRENDnet
2008-07-16 19:22 --------- d-----w C:\Program Files\Fichiers communs\Corel
2008-07-16 19:22 --------- d-----w C:\Program Files\Corel
2008-07-10 07:35 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-07-07 11:02 --------- d-----w C:\Program Files\Warcraft III
2008-07-06 11:02 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-06 11:02 126,976 ----a-w C:\WINDOWS\War3Unin.exe
2008-07-06 10:59 --------- d-----w C:\Documents and Settings\kevin\Application Data\Apple Computer
2008-07-05 10:40 --------- d-----w C:\Program Files\GameShadow
2008-07-05 10:35 418,480 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-07-05 10:35 115,432 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-07-05 10:35 --------- d-----w C:\Program Files\OpenAL
2008-07-03 18:24 --------- d-----w C:\Documents and Settings\kevin\Application Data\InstallShield Installation Information
2008-06-27 12:23 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-06-27 12:23 22,328 ----a-w C:\Documents and Settings\kevin\Application Data\PnkBstrK.sys
2008-06-27 12:16 1,506 ----a-w C:\WINDOWS\system32\ealregsnapshot1.reg
2008-06-27 11:57 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-27 10:49 82,432 ----a-w C:\WINDOWS\system32\msxml4r.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
.

------- Sigcheck -------

2004-08-19 16:04 2017280 35567c8c50986c2bc5c3efd79cb045e4 C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-04-14 04:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ntkrnlpa.exe
2008-04-14 04:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-01_20.18.58.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-02 05:39:53 1,894 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{45401DB8-C8CE-42BB-B773-504A38F3C06E}.bin
- 2008-09-01 09:06:01 291,680 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-09-01 20:15:22 289,296 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2007-11-30 11:19:06 18,296 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:29 18,296 ------w C:\WINDOWS\system32\spmsg.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-08-04 1271032]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-08-27 342848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="C:\Program Files\GIGABYTE\GEST\RUN.exe" [2006-01-21 716808]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 1966080]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-06 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-06 81920]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2004-06-09 40960]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-11-06 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

C:\Documents and Settings\kevin\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Deer Hunter 2005 Registration.lnk - E:\Program files 2\Deer Hunter 2005\ATR1.EXE [2004-08-27 4947968]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Wireless Configuration Utility.lnk - C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe [2007-07-10 634880]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Ubisoft\\Ghost Recon Advanced Warfighter\\graw.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Program Files\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"E:\\Program files 2\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"E:\\Program files 2\\Eidos\\Conflict Denied Ops\\ConflictDeniedOps.exe"=
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"E:\\Program files 2\\Codemasters\\DiRT\\DiRT.exe"=
"E:\\Program files 2\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Documents and Settings\\kevin\\Mes documents\\Jeux\\StarWars- Jedi Knight 3 - Jedi Academy(complet)\\GameData\\jamp.exe"=
"E:\\Program files 2\\eMule\\emule.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Call of Duty Game of the Year Edition\\CoDMP.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R3 RTL8187B;TRENDnet TEW-424UB 54M USB Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-07-19 264576]
S3 GEST Service;GEST Service for program management.;C:\Program Files\GIGABYTE\GEST\GSvr.exe [2007-12-14 47624]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed227b40-2e9c-11dd-9211-d59054e854fd}]
\Shell\AutoRun\command - H:\pa39xth.cmd
\Shell\explore\Command - H:\pa39xth.cmd
\Shell\open\Command - H:\pa39xth.cmd
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\kevin\Application Data\Mozilla\Firefox\Profiles\soiq6t16.default\
FF -: plugin - C:\Program Files\DNA\plugins\npbtdna.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npbittorrent.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 17:17:06
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-02 17:17:47
ComboFix-quarantined-files.txt 2008-09-02 15:17:37
ComboFix2.txt 2008-09-02 14:37:49
ComboFix3.txt 2008-09-02 08:12:11
ComboFix4.txt 2008-09-01 20:57:29
ComboFix5.txt 2008-09-02 15:15:08

Pre-Run: 14,202,499,072 octets libres
Post-Run: 14,188,150,784 octets libres

281 --- E O F --- 2008-09-02 08:19:09

Réponse 72 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 17:19

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:12, on 02/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Deer Hunter 2005 Registration.lnk = E:\Program files 2\Deer Hunter 2005\ATR1.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS3\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 212.30.96.108,212.30.124.146
O17 - HKLM\System\CS4\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

Réponse 73 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 17:20

C:\WINDOWS\system32\drivers\downld est revenu...?

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 17:25

mouais ... :-/

Réponse 74 / 84

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 17:25

Tient ... il u avais quelques salté qui trainait dans tes disques amovibles ...^^

Laisses les bien branchés aux PC et vérifies ceci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
H:\pa39xth.cmd

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Réponse 75 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 17:28

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.3.0 2008.09.02 Win-Trojan/OnlineGameHack.103268
AntiVir 7.8.1.23 2008.09.02 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.09.02 W32/PWStealer.OGA
Avast 4.8.1195.0 2008.09.02 Win32:AuCrypt
AVG 8.0.0.161 2008.09.02 PSW.OnlineGames.AO
BitDefender 7.2 2008.09.02 Trojan.Generic.552975
CAT-QuickHeal 9.50 2008.09.02 TrojanPSW.OnLineGames.xls
ClamAV 0.93.1 2008.09.02 Trojan.Agent-17885
DrWeb 4.44.0.09170 2008.09.02 Trojan.MulDrop.14406
eSafe 7.0.17.0 2008.09.02 Win32.OnLineGames.xl
eTrust-Vet 31.6.6064 2008.09.02 Win32/Frethog.BDQ
Ewido 4.0 2008.09.02 Trojan.OnLineGames.xls
F-Prot 4.4.4.56 2008.09.02 W32/PWStealer.OGA
Fortinet 3.14.0.0 2008.09.02 W32/OnLineGames.fam!tr.pws
GData 19 2008.09.02 Trojan-PSW.Win32.OnLineGames.xls
Ikarus T3.1.1.34.0 2008.09.02 Virus.Win32.Sality.s
K7AntiVirus 7.10.437 2008.09.02 Trojan-PSW.Win32.OnLineGames.xls
Kaspersky 7.0.0.125 2008.09.02 Trojan-PSW.Win32.OnLineGames.xls
McAfee 5374 2008.09.01 PWS-Gamania.gen.a
Microsoft 1.3807 2008.09.02 Worm:Win32/Taterf.BM
NOD32v2 3407 2008.09.02 Win32/PSW.OnLineGames.NMY
Norman 5.80.02 2008.09.02 W32/OnLineGames.AVSN
Panda 9.0.0.4 2008.09.02 W32/Lineage.IBZ
PCTools 4.4.2.0 2008.09.02 Trojan-PWS.OnlineGames.ARun
Prevx1 V2 2008.09.02 Malicious Software
Rising 20.60.11.00 2008.09.02 Trojan.PSW.Win32.OnlineGames.gem
Sophos 4.33.0 2008.09.02 Mal/EncPk-CE
Sunbelt 3.1.1592.1 2008.08.30 Trojan-PWS.Win32.OnLineGames.xls
Symantec 10 2008.09.02 Infostealer.Gampass
TheHacker 6.3.0.8.069 2008.09.01 Trojan/PSW.OnLineGames.xls
TrendMicro 8.700.0.1004 2008.09.02 WORM_ONLINEG.HCI
VBA32 3.12.8.4 2008.09.02 Malware-Cryptor.Win32.NSAnti
ViRobot 2008.9.2.1361 2008.09.02 Trojan.Win32.Amvo.Gen
VirusBuster 4.5.11.0 2008.09.02 Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway 6.6.2 2008.09.02 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 103268 bytes
MD5...: 617896d58fe10ce634ce88784725dbf1
SHA1..: 854d1e6b227c8cf9816fdcfb36f65dba868dac98
SHA256: 4ff49f967565dc667fa4f459c5b5a409838b629d95a7e6b6fd06c6e63d366689
SHA512: 937bb9f6e619a02e59a5e40c4a766b4711c24dc71896658d4dcd7f2ab24a6459
6ba611a9949af1cc4f6275e8966bfa0bfd53610fe3bc4716f2ae7e698fe4fcd9
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.5%)
Generic Win/DOS Executable (33.2%)
DOS Executable Generic (33.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x421bcc
timedatestamp.....: 0x47f6524d (Fri Apr 04 16:07:41 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x15000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
0x16000 0x19000 0x18800 7.98 d87293bead673db4279acdefadbb61f4
0x2f000 0x8b3 0x964 7.92 1df5fad9359d42e20c13f3218efa0282

( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5DBC23EE646E7BF293EC011725835F00474A117E
ThreatExpert info: https://www.symantec.com?md5=617896d58fe10ce634ce88784725dbf1

Réponse 76 / 84

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 17:54

Bien ... une saltée de plus ^^

laisses bien tes unités externes branchées tel que ...

suprimes le CFScript que tu as es fais ceci :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed227b40-2e9c-11dd-9211-d59054e854fd}]

File::
H:\pa39xth.cmd
C:\pa39xth.cmd
C:\WINDOWS\[u]0/u05227_.tmp

DirLook::
C:\WINDOWS\system32\drivers\downld

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Réponse 77 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 18:40

ComboFix 08-09-01.03 - kevin 2008-09-02 18:38:54.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1514 [GMT 2:00]
Endroit: C:\Documents and Settings\kevin\Bureau\killbagle.exe
Command switches used :: C:\Documents and Settings\kevin\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\pa39xth.cmd
H:\autorun.inf
H:\pa39xth.cmd

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-02 to 2008-09-02 ))))))))))))))))))))))))))))))))))))
.

2008-09-02 16:55 . 2008-09-02 16:56 <REP> d-------- C:\KB
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-09-01 23:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-01 23:26 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 23:26 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 22:20 . 2008-09-01 22:20 578,048 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-01 22:11 . 2008-09-01 22:27 <REP> d-------- C:\SDFix
2008-09-01 22:06 . 2008-09-01 22:06 <REP> d-------- C:\_OTMoveIt
2008-09-01 21:02 . 2008-09-01 21:02 <REP> d-------- C:\Program Files\Trend Micro
2008-09-01 20:57 . 2008-09-01 20:57 <REP> d-------- C:\Program Files\CCleaner
2008-09-01 14:37 . 2008-09-01 14:37 268 --ah----- C:\sqmdata01.sqm
2008-09-01 14:37 . 2008-09-01 14:37 244 --ah----- C:\sqmnoopt01.sqm
2008-09-01 13:47 . 2008-09-01 13:47 268 --ah----- C:\sqmdata00.sqm
2008-09-01 13:47 . 2008-09-01 13:47 244 --ah----- C:\sqmnoopt00.sqm
2008-09-01 12:06 . 2008-09-01 12:07 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-01 11:55 . 2008-09-01 11:55 <REP> d-------- C:\Program Files\Alwil Software
2008-09-01 11:35 . 2008-09-01 11:57 <REP> d-------- C:\Program Files\Eset
2008-09-01 11:35 . 2008-09-01 11:48 12 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-08-31 18:49 . 2008-08-31 18:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NortonInstaller
2008-08-30 14:53 . 2008-08-30 14:53 <REP> d-------- C:\Program Files\Windows Sidebar
2008-08-27 21:29 . 2008-09-02 17:12 <REP> d-------- C:\Program Files\DNA
2008-08-27 21:29 . 2008-08-27 21:29 <REP> d-------- C:\Program Files\BitTorrent
2008-08-27 21:29 . 2008-09-02 18:32 <REP> d-------- C:\Documents and Settings\kevin\Application Data\DNA
2008-08-27 21:29 . 2008-08-28 11:55 <REP> d-------- C:\Documents and Settings\kevin\Application Data\BitTorrent
2008-08-27 21:14 . 2008-08-27 21:25 <REP> d-------- C:\Program Files\Kazaa
2008-08-25 19:37 . 2008-08-25 19:37 8 -r-hs---- C:\WINDOWS\system32\CF4C20DC0A.sys
2008-08-25 18:51 . 2008-08-25 19:55 <REP> d-------- C:\Program Files\DivX
2008-08-25 18:51 . 2008-08-29 15:57 13,146 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-08-23 17:20 . 2000-10-03 19:54 2,998 --a------ C:\WINDOWS\setup.ico
2008-08-23 17:19 . 2008-08-23 17:19 <REP> d-------- C:\Program Files\Sierra On-Line
2008-08-23 17:19 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\ZeusIsUninst.Exe
2008-08-23 17:04 . 2008-08-23 17:04 <REP> d-------- C:\Documents and Settings\kevin\WINDOWS
2008-08-21 13:21 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-21 12:43 . 2008-08-31 20:49 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-21 12:35 . 2004-08-19 16:04 2,150,400 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-08-19 12:40 . 2006-12-28 21:01 19,569 --a------ C:\WINDOWS\[u]0[/u]05227_.tmp
2008-08-17 16:36 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-08-17 16:36 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-08-13 12:11 . 2008-05-01 16:31 331,776 --a------ C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-11 16:42 . 2008-08-11 16:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\flightgear.org
2008-08-11 16:40 . 2008-08-11 16:55 <REP> d-------- C:\Program Files\FlightGear
2008-08-07 13:24 . 2008-08-07 16:42 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-08-06 21:43 . 2008-08-06 21:43 <REP> d-------- C:\Documents and Settings\kevin\Application Data\Bioshock
2008-08-05 16:38 . 2008-08-05 16:38 <REP> d-------- C:\Program Files\BestGameEver
2008-08-04 22:55 . 2008-09-02 17:13 <REP> d-------- C:\Program Files\Steam
2008-08-04 18:29 . 2008-08-28 19:45 <REP> d-------- C:\Documents and Settings\kevin\Application Data\dvdcss
2008-08-03 22:17 . 2008-08-03 22:17 <REP> d-------- C:\Program Files\XviD
2008-08-03 22:17 . 2005-12-30 20:10 761,856 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-08-03 22:17 . 2005-12-30 20:18 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-08-03 22:17 . 2005-12-30 20:16 77,824 --a------ C:\WINDOWS\system32\xvid.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 12:21 --------- d-----w C:\Program Files\Bonjour
2008-09-01 09:37 --------- d-----w C:\Program Files\Norton AntiVirus
2008-09-01 09:15 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-09-01 09:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-29 14:20 --------- d-----w C:\Documents and Settings\kevin\Application Data\Corel
2008-08-27 19:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-21 11:22 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-08-13 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-08-08 17:55 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-07 18:21 --------- d-----w C:\Program Files\Call of Duty Game of the Year Edition
2008-07-29 16:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Corel
2008-07-27 03:11 --------- d-----w C:\Program Files\MSBuild
2008-07-27 03:11 --------- d-----w C:\Program Files\Microsoft Works
2008-07-27 03:10 --------- d-----w C:\Program Files\Microsoft.NET
2008-07-27 03:08 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2008-07-26 19:33 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorksNewsReader
2008-07-26 19:32 --------- d-----w C:\Documents and Settings\kevin\Application Data\SolidWorks
2008-07-26 19:28 --------- d-----w C:\Program Files\Fichiers communs\SolidWorks Shared
2008-07-26 19:28 --------- d-----w C:\Documents and Settings\kevin\Application Data\DWGeditor
2008-07-26 19:27 --------- d-----w C:\Program Files\SolidWorks Installation Manager
2008-07-26 19:25 --------- d-----w C:\Program Files\Fichiers communs\eDrawings2007
2008-07-26 11:02 --------- d-----w C:\Program Files\Java
2008-07-26 11:01 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-07-25 21:16 --------- d-----w C:\Program Files\Windows Journal Viewer
2008-07-25 20:17 --------- d-----w C:\Program Files\iTunes
2008-07-25 20:17 --------- d-----w C:\Program Files\iPod
2008-07-22 16:27 --------- d-----w C:\Program Files\Apple Software Update
2008-07-21 17:53 --------- d-----w C:\Program Files\Vimicro
2008-07-21 17:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-21 16:15 --------- d-----w C:\Program Files\Infogrames
2008-07-20 23:33 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-07-20 10:35 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-07-20 10:30 --------- d-----w C:\Program Files\Windows Live
2008-07-20 10:29 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-07-20 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-07-19 22:11 --------- d-----w C:\Program Files\DAEMON Tools
2008-07-19 12:25 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-07-18 22:30 --------- d-----w C:\Program Files\MSXML 4.0
2008-07-18 13:23 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-18 13:23 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-18 12:59 --------- d-----w C:\Program Files\Common Files
2008-07-18 12:41 --------- d-----w C:\Program Files\GOA
2008-07-18 10:36 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-07-18 10:36 --------- d-----w C:\Program Files\TRENDnet
2008-07-16 19:22 --------- d-----w C:\Program Files\Fichiers communs\Corel
2008-07-16 19:22 --------- d-----w C:\Program Files\Corel
2008-07-10 07:35 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-07-07 11:02 --------- d-----w C:\Program Files\Warcraft III
2008-07-06 11:02 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-06 11:02 126,976 ----a-w C:\WINDOWS\War3Unin.exe
2008-07-06 10:59 --------- d-----w C:\Documents and Settings\kevin\Application Data\Apple Computer
2008-07-05 10:40 --------- d-----w C:\Program Files\GameShadow
2008-07-05 10:35 418,480 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-07-05 10:35 115,432 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-07-05 10:35 --------- d-----w C:\Program Files\OpenAL
2008-07-03 18:24 --------- d-----w C:\Documents and Settings\kevin\Application Data\InstallShield Installation Information
2008-06-27 12:23 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-06-27 12:23 22,328 ----a-w C:\Documents and Settings\kevin\Application Data\PnkBstrK.sys
2008-06-27 12:16 1,506 ----a-w C:\WINDOWS\system32\ealregsnapshot1.reg
2008-06-27 11:57 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-27 10:49 82,432 ----a-w C:\WINDOWS\system32\msxml4r.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\WINDOWS\system32\drivers\downld ----

C:\WINDOWS\system32\drivers\downld\

------- Sigcheck -------

2004-08-19 16:04 2017280 35567c8c50986c2bc5c3efd79cb045e4 C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-04-14 04:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ntkrnlpa.exe
2008-04-14 04:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-01_20.18.58.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-02 15:23:13 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-09-01 09:06:01 291,680 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-09-01 20:15:22 289,296 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2007-11-30 11:19:06 18,296 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:29 18,296 ------w C:\WINDOWS\system32\spmsg.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-08-04 1271032]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-08-27 342848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="C:\Program Files\GIGABYTE\GEST\RUN.exe" [2006-01-21 716808]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 1966080]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-06 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-06 81920]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 413696]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2004-06-09 40960]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-11-06 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

C:\Documents and Settings\kevin\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Deer Hunter 2005 Registration.lnk - E:\Program files 2\Deer Hunter 2005\ATR1.EXE [2004-08-27 4947968]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Wireless Configuration Utility.lnk - C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe [2007-07-10 634880]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Ubisoft\\Ghost Recon Advanced Warfighter\\graw.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Program Files\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Program files 2\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"E:\\Program files 2\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"E:\\Program files 2\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"E:\\Program files 2\\Eidos\\Conflict Denied Ops\\ConflictDeniedOps.exe"=
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"E:\\Program files 2\\Codemasters\\DiRT\\DiRT.exe"=
"E:\\Program files 2\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Documents and Settings\\kevin\\Mes documents\\Jeux\\StarWars- Jedi Knight 3 - Jedi Academy(complet)\\GameData\\jamp.exe"=
"E:\\Program files 2\\eMule\\emule.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Call of Duty Game of the Year Edition\\CoDMP.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\DNA\\btdna.exe"=

R3 RTL8187B;TRENDnet TEW-424UB 54M USB Dongle;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-07-19 264576]
S3 GEST Service;GEST Service for program management.;C:\Program Files\GIGABYTE\GEST\GSvr.exe [2007-12-14 47624]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [ ]
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 18:39:25
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-09-02 18:39:51
ComboFix-quarantined-files.txt 2008-09-02 16:39:47
ComboFix2.txt 2008-09-02 15:17:48
ComboFix3.txt 2008-09-02 14:37:49
ComboFix4.txt 2008-09-02 08:12:11
ComboFix5.txt 2008-09-02 16:38:42

Pre-Run: 14,254,833,664 octets libres
Post-Run: 14,240,342,016 octets libres

266 --- E O F --- 2008-09-02 08:19:09

Réponse 78 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 18:41

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:32, on 02/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Deer Hunter 2005 Registration.lnk = E:\Program files 2\Deer Hunter 2005\ATR1.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS3\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 212.30.96.108,212.30.124.146
O17 - HKLM\System\CS4\Services\Tcpip\..\{63552BD8-FEA9-4C56-A708-4BC23A6BDC92}: NameServer = 80.118.192.100,80.118.196.36
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

Réponse 79 / 84

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 sept. 2008 à 19:05

Bien ...

A-Télécharges OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Déconnectes toi et fermes toute tes applications en cours .

cliques double sur OTMoveIt.exe pour le lancer.
copies ce qui se trouve en citation ci-dessous,

C:\WINDOWS\system32\drivers\downld

et colles le dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

Note : il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes".

B-nettoyons les outils :

Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

Puis enfin supprimes Toolscleaner2 ...

C- refais un coup de CCleaner ( registre compris ) .

D- il te faut un Anti-virus ... Voilà le top du momment en AV gratuit :

Télécharges AntiVir ici :
https://www.pcastuces.com/logitheque/antivir.htm
ou
https://www.avira.com/

Anti-virus gratuit ( en anglais mais très simple )
Installes le et mets le à jour (fais ce-ci très régulièrement ) .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible

fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" .
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
*puis sur la droite, coches les cases suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search for rootkit before scan
et décoches :
ignore off line files
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait ,
Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;)

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )

Réponse 80 / 84

kékélamalice Messages postés 85 Date d'inscription mercredi 20 février 2008 Statut Membre Dernière intervention 1 décembre 2009
2 sept. 2008 à 19:49

File/Folder C:\WINDOWS\system32\drivers\downld not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09022008_194811

Virus :".exe n'est pas une application win32

84 réponses

Discussions similaires