Interprétation highjack this
trent
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Salut à tous!
voila j'ai un petit probleme depuis 2 jours, j'ai du chopper un malware car l'UC de mon pc est constamment à 100% (avec evidemment tous les ralentissements qui vont avec).
J'ai passé quelque log du type a-squared ou spydoctor, j'ai fais un test en ligne sur secured mais sans résultat.
Bref, j'ai réalisé un scan avec highjackthis mais malgré les infos glannées ça et là sur le net j'ai toujours du mal à savoir ce que ça signifie et donc je sais pas vraiment ce qu'il y a a supprimer ou pas. Je vais vous mettre le résultat en dessous si vous pouviez me donner quelques indications ce serait sympa.
En espérant avoir posté dans la bonne section.
Merci d'avance.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:03, on 14/10/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\WLTRAY.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\Powerkey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Winamp\winampa.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\system32\wermgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\julien\AppData\Local\Temp\RtkBtMnt.EXE
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\julien\AppData\LocalLow\Trend Micro\HCMS\checkup\fr\checkup.exe
C:\Users\julien\AppData\LocalLow\Trend Micro\HCMS\checkup\fr\checkupsvc.exe
C:\Users\julien\AppData\LocalLow\TRENDM~1\HCMS\checkup\fr\COMPON~1\tsc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\julien\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{05F70A32-9002-48A4-8CA6-30A47401A44E}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05F70A32-9002-48A4-8CA6-30A47401A44E}: NameServer = 213.36.80.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\wltrysvc.exe
--
End of file - 6497 bytes
voila j'ai un petit probleme depuis 2 jours, j'ai du chopper un malware car l'UC de mon pc est constamment à 100% (avec evidemment tous les ralentissements qui vont avec).
J'ai passé quelque log du type a-squared ou spydoctor, j'ai fais un test en ligne sur secured mais sans résultat.
Bref, j'ai réalisé un scan avec highjackthis mais malgré les infos glannées ça et là sur le net j'ai toujours du mal à savoir ce que ça signifie et donc je sais pas vraiment ce qu'il y a a supprimer ou pas. Je vais vous mettre le résultat en dessous si vous pouviez me donner quelques indications ce serait sympa.
En espérant avoir posté dans la bonne section.
Merci d'avance.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:03, on 14/10/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\WLTRAY.EXE
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\Powerkey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\WButton.exe
C:\Program Files\Winamp\winampa.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\system32\wermgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\julien\AppData\Local\Temp\RtkBtMnt.EXE
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\julien\AppData\LocalLow\Trend Micro\HCMS\checkup\fr\checkup.exe
C:\Users\julien\AppData\LocalLow\Trend Micro\HCMS\checkup\fr\checkupsvc.exe
C:\Users\julien\AppData\LocalLow\TRENDM~1\HCMS\checkup\fr\COMPON~1\tsc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\julien\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/activex/TmHcmsX.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{05F70A32-9002-48A4-8CA6-30A47401A44E}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{05F70A32-9002-48A4-8CA6-30A47401A44E}: NameServer = 213.36.80.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\wltrysvc.exe
--
End of file - 6497 bytes
A voir également:
- Interprétation highjack this
- Hijack this - Télécharger - Antivirus & Antimalwares
- This media cannot boot in legacy mode - Forum logiciel systeme
- Cannot display this video mode - Forum Ecran
- This program cannot be run in dos mode ✓ - Forum Programmation
- This is the mail system at host ✓ - Forum Mail
12 réponses
slt
scan evec malwarebyte et colle le rapport et vire ce qui est trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
scan evec malwarebyte et colle le rapport et vire ce qui est trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
salut!
rien de spécial n'a été trouvé avec malwarebytes je te met quand meme le résumé. Je commence à douter que ce soit finalement un malware. Mais quoi d'autre? un conflit entre logs.
rien de spécial n'a été trouvé avec malwarebytes je te met quand meme le résumé. Je commence à douter que ce soit finalement un malware. Mais quoi d'autre? un conflit entre logs.
Volia le rapport:
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1269
Windows 6.0.6000
14/10/2008 23:59:18
mbam-log-2008-10-14 (23-59-18).txt
Type de recherche: Examen rapide
Eléments examinés: 42142
Temps écoulé: 2 minute(s), 56 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1269
Windows 6.0.6000
14/10/2008 23:59:18
mbam-log-2008-10-14 (23-59-18).txt
Type de recherche: Examen rapide
Eléments examinés: 42142
Temps écoulé: 2 minute(s), 56 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
il faut faire un examen complet et pas un rapide
puis
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
puis
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le rapport combofix:
ComboFix 08-10-14.07 - julien 2008-10-15 17:39:19.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.576 [GMT 2:00]
Lancé depuis: C:\Users\julien\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-15 au 2008-10-15 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-15 13:29 --------- d-----w C:\Program Files\StartupStar
2008-10-15 13:04 --------- d-----w C:\Users\julien\AppData\Roaming\DNA
2008-10-14 19:41 --------- d-----w C:\Users\julien\AppData\Roaming\Malwarebytes
2008-10-14 19:41 --------- d-----w C:\ProgramData\Malwarebytes
2008-10-14 19:41 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-10-14 18:25 --------- d-----w C:\Program Files\Trend Micro
2008-10-14 18:15 69,689 ----a-w C:\Windows\UNZIP.DLL
2008-10-14 18:15 507,904 ----a-w C:\Windows\TMUPDATE.DLL
2008-10-14 18:15 286,720 ----a-w C:\Windows\PATCH.EXE
2008-10-13 16:41 --------- d-----w C:\Users\julien\AppData\Roaming\Winamp
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Sidebar
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Mail
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Journal
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Collaboration
2008-10-13 16:20 --------- d-----w C:\Program Files\a-squared Free
2008-10-13 15:16 --------- d---a-w C:\ProgramData\TEMP
2008-10-13 13:51 --------- d-----w C:\Program Files\Spyware Doctor
2008-10-12 21:21 --------- d-----w C:\Users\julien\AppData\Roaming\PC Tools
2008-10-12 21:19 --------- d-----w C:\ProgramData\CA
2008-10-12 21:19 --------- d-----w C:\Program Files\CA
2008-10-12 20:51 --------- d-----w C:\ProgramData\TrackMania
2008-10-12 19:42 --------- d-----w C:\Program Files\Soulseek
2008-10-12 15:14 --------- d-----w C:\Program Files\TmNationsForever
2008-10-11 15:44 --------- d-----w C:\ProgramData\Soulseek
2008-10-10 12:09 --------- d-----w C:\ProgramData\Microsoft Help
2008-10-09 13:57 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-10-09 13:57 --------- d-----w C:\Program Files\Windows Live
2008-10-09 13:54 --------- d-----w C:\ProgramData\WLInstaller
2008-10-09 10:04 268,800 ----a-w C:\Windows\System32\es.dll
2008-10-08 16:38 --------- d-----w C:\Program Files\SDPbackup
2008-10-08 15:43 --------- d-----w C:\Program Files\MSBuild
2008-10-08 15:43 --------- d-----w C:\Program Files\Microsoft Works
2008-10-08 15:41 --------- d-----w C:\Program Files\Microsoft.NET
2008-10-08 15:36 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2008-10-08 15:29 --------- d-----w C:\Program Files\DAEMON Tools Toolbar
2008-10-08 15:29 --------- d-----w C:\Program Files\DAEMON Tools Lite
2008-10-08 15:25 717,296 ----a-w C:\Windows\system32\drivers\sptd.sys
2008-10-08 15:24 --------- d-----w C:\Users\julien\AppData\Roaming\DAEMON Tools
2008-10-08 15:22 --------- d-----w C:\Program Files\Startup Mechanic
2008-10-08 15:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-08 15:14 --------- d-----w C:\Users\julien\AppData\Roaming\EFSoftware
2008-10-08 15:14 --------- d-----w C:\Program Files\EF StartUp Manager
2008-10-08 14:25 676,224 ----a-w C:\Windows\System32\OGACheckControl.dll
2008-10-08 14:12 --------- d-----w C:\Program Files\DNA
2008-10-08 14:12 --------- d-----w C:\Program Files\BitTorrent
2008-10-07 22:19 174 --sha-w C:\Program Files\desktop.ini
2008-10-07 22:13 --------- d-----w C:\Program Files\Windows Defender
2008-10-07 22:13 --------- d-----w C:\Program Files\Windows Calendar
2008-10-07 21:54 --------- d-----w C:\Program Files\Music Liberator
2008-10-07 20:59 --------- d-----w C:\Users\julien\AppData\Roaming\Apple Computer
2008-10-07 20:59 --------- d-----w C:\ProgramData\Apple Computer
2008-10-07 20:59 --------- d-----w C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-07 20:59 --------- d-----w C:\Program Files\iTunes
2008-10-07 20:59 --------- d-----w C:\Program Files\iPod
2008-10-07 19:15 61,440 ----a-w C:\Windows\System32\winipsec.dll
2008-10-07 19:15 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL
2008-10-07 19:15 28,672 ----a-w C:\Windows\System32\FwRemoteSvr.dll
2008-10-07 19:15 272,896 ----a-w C:\Windows\System32\polstore.dll
2008-10-07 19:13 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-10-07 19:13 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-10-07 19:13 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-10-07 19:13 28,160 ----a-w C:\Windows\System32\Apphlpdm.dll
2008-10-07 19:13 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-10-07 19:13 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-10-07 19:13 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-10-07 19:13 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-10-07 19:12 87,040 ----a-w C:\Windows\System32\msoert2.dll
2008-10-07 19:12 39,424 ----a-w C:\Windows\System32\ACCTRES.dll
2008-10-07 19:12 205,824 ----a-w C:\Windows\System32\msoeacct.dll
2008-10-07 19:10 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-10-07 19:10 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-10-07 19:08 49,664 ----a-w C:\Windows\System32\csrsrv.dll
2008-10-07 19:08 376,320 ----a-w C:\Windows\System32\winsrv.dll
2008-10-07 19:04 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-10-07 19:04 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-10-07 19:03 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-10-07 19:02 303,616 ----a-w C:\Windows\System32\wmpeffects.dll
2008-10-07 19:01 414,208 ----a-w C:\Windows\System32\msscp.dll
2008-10-07 18:57 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-10-07 18:57 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-10-07 18:57 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-10-07 18:57 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-10-07 18:57 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-10-07 18:57 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-10-07 18:57 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-10-07 18:57 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-10-07 18:57 104,448 ----a-w C:\Windows\System32\DWWIN.EXE
2008-10-07 18:56 2,048 ----a-w C:\Windows\System32\msxml3r.dll
2008-10-07 18:56 1,191,936 ----a-w C:\Windows\System32\msxml3.dll
2008-10-07 18:55 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2008-10-07 18:55 8,704 ----a-w C:\Windows\System32\hccoin.dll
2008-10-07 18:55 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2008-10-07 18:55 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2008-10-07 18:55 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2008-10-07 18:55 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2008-10-07 18:55 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2008-10-07 18:55 19,456 ----a-w C:\Windows\system32\drivers\usbohci.sys
2008-10-07 18:52 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll
2008-10-07 18:49 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-10-07 18:49 56,320 ----a-w C:\Windows\System32\iesetup.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ZipFile]
@="{2D7E38A6-A604-45AE-9A87-4F5F25760650}"
[HKEY_CLASSES_ROOT\CLSID\{2D7E38A6-A604-45AE-9A87-4F5F25760650}]
2001-01-01 17:24 90112 --a------ C:\Windows\System32\winsdrv.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 125440]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 C:\Windows\System32\oobefldr.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="C:\Windows\system32\WLTRAY" [X]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2007-01-16 204800]
"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-08-04 36352]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"MSConfig"="C:\Windows\system32\msconfig.exe" [2006-11-02 222208]
"SoundMan"="SOUNDMAN.EXE" [2007-03-09 C:\Windows\SOUNDMAN.EXE]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-10-08 16:38 289088 C:\Users\julien\Program Files\DNA\btdna.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0E960242-137D-47F2-A911-21A053B76DD6}"= UDP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{AFD2223B-EE7A-4759-B3AF-2079320D1567}"= TCP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{5F22C366-975E-43E9-BD64-6BA3680C5D42}"= UDP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{83D9A60A-46AB-4628-9CA6-EC6C4A4BABE6}"= TCP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{AEBF70E9-CC18-4408-8A8F-16C8DAB812B1}"= UDP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{6E61E096-3BB6-4A11-8882-946121D8774B}"= TCP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{41E45862-3CEC-407F-AF15-6AD01043857E}"= UDP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{7A3553E2-09AE-439E-8E08-47989E534D24}"= TCP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{5D5860AF-7EE5-456F-8627-82F08C768111}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{22C3B10B-A855-4142-AD6C-7C386D62F379}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{CE7CF0BB-D2F8-4194-8671-EE1A292CB0F2}"= UDP:C:\Program Files\DNA\btdna.exe:DNA
"{C789CA2D-1825-42FC-BE9E-B6F1BFB0F5F5}"= TCP:C:\Program Files\DNA\btdna.exe:DNA
"TCP Query User{2D3A3935-26BE-4363-9327-B02C70A1824E}C:\\program files\\bittorrent\\bittorrent.exe"= UDP:C:\program files\bittorrent\bittorrent.exe:µTorrent
"UDP Query User{32121FDD-47D2-4305-96FA-8EADC918EE1D}C:\\program files\\bittorrent\\bittorrent.exe"= TCP:C:\program files\bittorrent\bittorrent.exe:µTorrent
"TCP Query User{37D1464C-D566-4F2E-B4B0-666BD07BDC0E}C:\\users\\julien\\program files\\dna\\btdna.exe"= UDP:C:\users\julien\program files\dna\btdna.exe:btdna.exe
"UDP Query User{D107A0D7-16E8-43E5-B886-7E9A6193A1C4}C:\\users\\julien\\program files\\dna\\btdna.exe"= TCP:C:\users\julien\program files\dna\btdna.exe:btdna.exe
"{26522E97-22C0-422A-B8DA-36DA50067F26}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{3949D299-DE14-4F07-AB53-B4D6CA0A64A2}"= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{38AD7A14-2DF2-4A7A-986E-D58350F3BF54}"= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{888373A8-9BF5-4137-9AFC-4BEE01DDC9C4}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{112BDE18-F7A0-40BC-BA2E-CCBAFF3C9508}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{BE1A9866-BE67-4F19-9EA6-899019794DE9}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{E8F03590-AD3C-4035-9652-365755AE94F9}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
R1 Hotkey;Hotkey;C:\Windows\system32\drivers\Hotkey.sys [2003-04-28 9867]
R3 HSFHWATI;HSFHWATI;C:\Windows\system32\DRIVERS\HSFHWATI.sys [2004-12-14 200192]
R3 WisLMSvc;WisLMSvc;C:\Program Files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{924041e9-954d-11dd-b26d-000ae4e14872}]
\shell\AutoRun\command - E:\SETUP.EXE
\shell\configure\command - E:\SETUP.EXE
\shell\install\command - E:\SETUP.EXE
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Users\julien\AppData\Roaming\Mozilla\Firefox\Profiles\g7rmzavy.default\
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 17:51:31
Windows 6.0.6000 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-10-15 17:54:12
ComboFix-quarantined-files.txt 2008-10-15 15:53:50
Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Après-CF: 11,274,293,248 octets libres
202 --- E O F --- 2008-10-15 11:13:12
ComboFix 08-10-14.07 - julien 2008-10-15 17:39:19.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.576 [GMT 2:00]
Lancé depuis: C:\Users\julien\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-15 au 2008-10-15 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-15 13:29 --------- d-----w C:\Program Files\StartupStar
2008-10-15 13:04 --------- d-----w C:\Users\julien\AppData\Roaming\DNA
2008-10-14 19:41 --------- d-----w C:\Users\julien\AppData\Roaming\Malwarebytes
2008-10-14 19:41 --------- d-----w C:\ProgramData\Malwarebytes
2008-10-14 19:41 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-10-14 18:25 --------- d-----w C:\Program Files\Trend Micro
2008-10-14 18:15 69,689 ----a-w C:\Windows\UNZIP.DLL
2008-10-14 18:15 507,904 ----a-w C:\Windows\TMUPDATE.DLL
2008-10-14 18:15 286,720 ----a-w C:\Windows\PATCH.EXE
2008-10-13 16:41 --------- d-----w C:\Users\julien\AppData\Roaming\Winamp
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Sidebar
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Mail
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Journal
2008-10-13 16:41 --------- d-----w C:\Program Files\Windows Collaboration
2008-10-13 16:20 --------- d-----w C:\Program Files\a-squared Free
2008-10-13 15:16 --------- d---a-w C:\ProgramData\TEMP
2008-10-13 13:51 --------- d-----w C:\Program Files\Spyware Doctor
2008-10-12 21:21 --------- d-----w C:\Users\julien\AppData\Roaming\PC Tools
2008-10-12 21:19 --------- d-----w C:\ProgramData\CA
2008-10-12 21:19 --------- d-----w C:\Program Files\CA
2008-10-12 20:51 --------- d-----w C:\ProgramData\TrackMania
2008-10-12 19:42 --------- d-----w C:\Program Files\Soulseek
2008-10-12 15:14 --------- d-----w C:\Program Files\TmNationsForever
2008-10-11 15:44 --------- d-----w C:\ProgramData\Soulseek
2008-10-10 12:09 --------- d-----w C:\ProgramData\Microsoft Help
2008-10-09 13:57 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-10-09 13:57 --------- d-----w C:\Program Files\Windows Live
2008-10-09 13:54 --------- d-----w C:\ProgramData\WLInstaller
2008-10-09 10:04 268,800 ----a-w C:\Windows\System32\es.dll
2008-10-08 16:38 --------- d-----w C:\Program Files\SDPbackup
2008-10-08 15:43 --------- d-----w C:\Program Files\MSBuild
2008-10-08 15:43 --------- d-----w C:\Program Files\Microsoft Works
2008-10-08 15:41 --------- d-----w C:\Program Files\Microsoft.NET
2008-10-08 15:36 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2008-10-08 15:29 --------- d-----w C:\Program Files\DAEMON Tools Toolbar
2008-10-08 15:29 --------- d-----w C:\Program Files\DAEMON Tools Lite
2008-10-08 15:25 717,296 ----a-w C:\Windows\system32\drivers\sptd.sys
2008-10-08 15:24 --------- d-----w C:\Users\julien\AppData\Roaming\DAEMON Tools
2008-10-08 15:22 --------- d-----w C:\Program Files\Startup Mechanic
2008-10-08 15:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-08 15:14 --------- d-----w C:\Users\julien\AppData\Roaming\EFSoftware
2008-10-08 15:14 --------- d-----w C:\Program Files\EF StartUp Manager
2008-10-08 14:25 676,224 ----a-w C:\Windows\System32\OGACheckControl.dll
2008-10-08 14:12 --------- d-----w C:\Program Files\DNA
2008-10-08 14:12 --------- d-----w C:\Program Files\BitTorrent
2008-10-07 22:19 174 --sha-w C:\Program Files\desktop.ini
2008-10-07 22:13 --------- d-----w C:\Program Files\Windows Defender
2008-10-07 22:13 --------- d-----w C:\Program Files\Windows Calendar
2008-10-07 21:54 --------- d-----w C:\Program Files\Music Liberator
2008-10-07 20:59 --------- d-----w C:\Users\julien\AppData\Roaming\Apple Computer
2008-10-07 20:59 --------- d-----w C:\ProgramData\Apple Computer
2008-10-07 20:59 --------- d-----w C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-07 20:59 --------- d-----w C:\Program Files\iTunes
2008-10-07 20:59 --------- d-----w C:\Program Files\iPod
2008-10-07 19:15 61,440 ----a-w C:\Windows\System32\winipsec.dll
2008-10-07 19:15 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL
2008-10-07 19:15 28,672 ----a-w C:\Windows\System32\FwRemoteSvr.dll
2008-10-07 19:15 272,896 ----a-w C:\Windows\System32\polstore.dll
2008-10-07 19:13 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-10-07 19:13 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-10-07 19:13 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-10-07 19:13 28,160 ----a-w C:\Windows\System32\Apphlpdm.dll
2008-10-07 19:13 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-10-07 19:13 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-10-07 19:13 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-10-07 19:13 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-10-07 19:12 87,040 ----a-w C:\Windows\System32\msoert2.dll
2008-10-07 19:12 39,424 ----a-w C:\Windows\System32\ACCTRES.dll
2008-10-07 19:12 205,824 ----a-w C:\Windows\System32\msoeacct.dll
2008-10-07 19:10 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-10-07 19:10 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-10-07 19:08 49,664 ----a-w C:\Windows\System32\csrsrv.dll
2008-10-07 19:08 376,320 ----a-w C:\Windows\System32\winsrv.dll
2008-10-07 19:04 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-10-07 19:04 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-10-07 19:03 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-10-07 19:02 303,616 ----a-w C:\Windows\System32\wmpeffects.dll
2008-10-07 19:01 414,208 ----a-w C:\Windows\System32\msscp.dll
2008-10-07 18:57 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-10-07 18:57 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-10-07 18:57 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-10-07 18:57 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-10-07 18:57 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-10-07 18:57 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-10-07 18:57 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-10-07 18:57 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-10-07 18:57 104,448 ----a-w C:\Windows\System32\DWWIN.EXE
2008-10-07 18:56 2,048 ----a-w C:\Windows\System32\msxml3r.dll
2008-10-07 18:56 1,191,936 ----a-w C:\Windows\System32\msxml3.dll
2008-10-07 18:55 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2008-10-07 18:55 8,704 ----a-w C:\Windows\System32\hccoin.dll
2008-10-07 18:55 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2008-10-07 18:55 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2008-10-07 18:55 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2008-10-07 18:55 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2008-10-07 18:55 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2008-10-07 18:55 19,456 ----a-w C:\Windows\system32\drivers\usbohci.sys
2008-10-07 18:52 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll
2008-10-07 18:49 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-10-07 18:49 56,320 ----a-w C:\Windows\System32\iesetup.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ZipFile]
@="{2D7E38A6-A604-45AE-9A87-4F5F25760650}"
[HKEY_CLASSES_ROOT\CLSID\{2D7E38A6-A604-45AE-9A87-4F5F25760650}]
2001-01-01 17:24 90112 --a------ C:\Windows\System32\winsdrv.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 125440]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-04-01 507904]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 C:\Windows\System32\oobefldr.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="C:\Windows\system32\WLTRAY" [X]
"LaunchAp"="C:\Program Files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"PowerKey"="C:\Program Files\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="C:\Program Files\Launch Manager\HotkeyApp.exe" [2007-01-16 204800]
"LMgrOSD"="C:\Program Files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="C:\Program Files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-08-04 36352]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"MSConfig"="C:\Windows\system32\msconfig.exe" [2006-11-02 222208]
"SoundMan"="SOUNDMAN.EXE" [2007-03-09 C:\Windows\SOUNDMAN.EXE]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-10-08 16:38 289088 C:\Users\julien\Program Files\DNA\btdna.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0E960242-137D-47F2-A911-21A053B76DD6}"= UDP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{AFD2223B-EE7A-4759-B3AF-2079320D1567}"= TCP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{5F22C366-975E-43E9-BD64-6BA3680C5D42}"= UDP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{83D9A60A-46AB-4628-9CA6-EC6C4A4BABE6}"= TCP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{AEBF70E9-CC18-4408-8A8F-16C8DAB812B1}"= UDP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{6E61E096-3BB6-4A11-8882-946121D8774B}"= TCP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{41E45862-3CEC-407F-AF15-6AD01043857E}"= UDP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{7A3553E2-09AE-439E-8E08-47989E534D24}"= TCP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{5D5860AF-7EE5-456F-8627-82F08C768111}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{22C3B10B-A855-4142-AD6C-7C386D62F379}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{CE7CF0BB-D2F8-4194-8671-EE1A292CB0F2}"= UDP:C:\Program Files\DNA\btdna.exe:DNA
"{C789CA2D-1825-42FC-BE9E-B6F1BFB0F5F5}"= TCP:C:\Program Files\DNA\btdna.exe:DNA
"TCP Query User{2D3A3935-26BE-4363-9327-B02C70A1824E}C:\\program files\\bittorrent\\bittorrent.exe"= UDP:C:\program files\bittorrent\bittorrent.exe:µTorrent
"UDP Query User{32121FDD-47D2-4305-96FA-8EADC918EE1D}C:\\program files\\bittorrent\\bittorrent.exe"= TCP:C:\program files\bittorrent\bittorrent.exe:µTorrent
"TCP Query User{37D1464C-D566-4F2E-B4B0-666BD07BDC0E}C:\\users\\julien\\program files\\dna\\btdna.exe"= UDP:C:\users\julien\program files\dna\btdna.exe:btdna.exe
"UDP Query User{D107A0D7-16E8-43E5-B886-7E9A6193A1C4}C:\\users\\julien\\program files\\dna\\btdna.exe"= TCP:C:\users\julien\program files\dna\btdna.exe:btdna.exe
"{26522E97-22C0-422A-B8DA-36DA50067F26}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{3949D299-DE14-4F07-AB53-B4D6CA0A64A2}"= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{38AD7A14-2DF2-4A7A-986E-D58350F3BF54}"= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{888373A8-9BF5-4137-9AFC-4BEE01DDC9C4}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{112BDE18-F7A0-40BC-BA2E-CCBAFF3C9508}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{BE1A9866-BE67-4F19-9EA6-899019794DE9}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{E8F03590-AD3C-4035-9652-365755AE94F9}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
R1 Hotkey;Hotkey;C:\Windows\system32\drivers\Hotkey.sys [2003-04-28 9867]
R3 HSFHWATI;HSFHWATI;C:\Windows\system32\DRIVERS\HSFHWATI.sys [2004-12-14 200192]
R3 WisLMSvc;WisLMSvc;C:\Program Files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{924041e9-954d-11dd-b26d-000ae4e14872}]
\shell\AutoRun\command - E:\SETUP.EXE
\shell\configure\command - E:\SETUP.EXE
\shell\install\command - E:\SETUP.EXE
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Users\julien\AppData\Roaming\Mozilla\Firefox\Profiles\g7rmzavy.default\
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 17:51:31
Windows 6.0.6000 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-10-15 17:54:12
ComboFix-quarantined-files.txt 2008-10-15 15:53:50
Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Après-CF: 11,274,293,248 octets libres
202 --- E O F --- 2008-10-15 11:13:12
avais tu essayé de restaurer l'ordi avant le problème?
http://www.infoprat.net/astuces/windows2k_xp/astuces/divers_004.php
colle un scan en ligne avec kaspersky
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
http://www.infoprat.net/astuces/windows2k_xp/astuces/divers_004.php
colle un scan en ligne avec kaspersky
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
oui j'avais essayé la restauration system mais malheureusement j'en avais pas d'assez ancienne et ça n'a pas résolu le probleme. je lance kaspersky
le scan de kaspersky n'a rien donné il a juste détecté une "vulnérabilité" sous C:\windows\ConfigSetRoot\MSXML6.dll
