Sujet Précédent Sujet Suivant

PC très lent voir hijack

Résolu
phk30 Messages postés 1066 Statut Membre -  
phk30 Messages postés 1066 Statut Membre -
Bonjour, voici un rapport toolbar s&d et hijack suite à la lenteur de mon pc merci beaucoup à bientot.

-----------\\ ToolBar S&D 1.2.2 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix FirstBios(tm) Desktop Pro Version 2.0 for IBM ThinkCentre.
USER : SANS ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)
Firewall : Outpost Firewall Pro 4.0 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 74 Go Free : 48 Go
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (USB) - FAT32 - Total : 3897 Mo Free : 3 Go

"C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [1] ( 27/10/2008|18:50 )

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.orange.fr/portail"
"First Home Page"="https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70"
"Url"="http://www.microsoft.com/athome/community/rss.xml"
"Url"="http://rss.msn.com/en-us/?feedoutput=rss&ocid=iehrs&unsub=true"
"Url"="http://www.microsoft.com/atwork/community/rss.xml"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "C:\ToolBar SD\TB_1.txt" - 27/10/2008|18:52 - Option : [1]

-----------\\ Fin du rapport a 18:52:27,64

hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:22, on 27/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Wireless 802.11g Monitor\WLService.exe
C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Documents and Settings\SANS\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{764559A0-682B-43F7-9E77-3A1B398427A2}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: fkbdwz.dll
O23 - Service: a-squared Free Service (a2free) - Unknown owner - D:\a-squared Free\a2service.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe
A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Bonsoir,

Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

0
Réponse 2 / 29
phk30 Messages postés 1066 Statut Membre 75
 
mille excuse pour le retard je viens de voir le message
voici le rapport. Le 2ème après la suppression est vierge de virus malware a t il tout supprimer.

en ouvrant le pc antivir a notifié ceci

Virus or unwanted program 'TR/Trash.Gen [trojan]'
detected in file 'C:\System Volume Information\_restore{11D6BEEB-8E53-496D-99BE-96232D295F73}\RP132\A0239589.exe.
Action performed: Delete file

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1328
Windows 5.1.2600 Service Pack 3

27/10/2008 20:12:07
mbam-log-2008-10-27 (20-12-07).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 149085
Temps écoulé: 53 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\smartenhancer (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbrowsingadvisor_is1 (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\SmartEnhancer (Trojan.BHO) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\SANS\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Program Files\SmartEnhancer\pcre3.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Program Files\SmartEnhancer\SmartEnhancer.dat (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Program Files\SmartEnhancer\uninstall.exe (Trojan.BHO) -> Quarantined and deleted successfully.
0
Réponse 3 / 29
phk30 Messages postés 1066 Statut Membre 75
 
voici 3 nouvelle alerte antivir

Virus or unwanted program 'TR/Drop.Softomat.AN [trojan]'
detected in file 'C:\System Volume Information\_restore{11D6BEEB-8E53-496D-99BE-96232D295F73}\RP132\A0239590.exe.
Action performed: Delete file

Virus or unwanted program 'TR/Trash.Gen [trojan]'
detected in file 'C:\System Volume Information\_restore{11D6BEEB-8E53-496D-99BE-96232D295F73}\RP132\A0239591.dll.
Action performed: Delete file

Virus or unwanted program 'TR/Trash.Gen [trojan]'
detected in file 'C:\System Volume Information\_restore{11D6BEEB-8E53-496D-99BE-96232D295F73}\RP132\A0239592.exe.
Action performed: Delete file
0
Réponse 4 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Ce sont des sauvegardes de la restauration du système qu'Antivir a détecté, rien de grave du moment que tu ne fais pas de restauration du système (on s'occupera de ça quand on aura fini la désinfection)

Par contre, MalwareBytes a détecté un trojan, et ce n'est pas terrminé...

On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit d'Antivir (fais un clic droit sur l'icone près de l'horloge et décoche « Activer Antivir Guard »

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
phk30 Messages postés 1066 Statut Membre 75
 
ComboFix 08-10-29.04 - SANS 2008-10-29 12:06:11.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.261 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\SANS\Bureau\C-fix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VFILT

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-29 ))))))))))))))))))))))))))))))))))))
.

2008-10-29 12:01 . 2008-10-29 12:04 <REP> d-------- C:\ComboFix
2008-10-27 19:15 . 2008-10-27 19:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-10-27 19:07 . 2008-10-27 19:07 <REP> d-------- C:\Program Files\CleanUp!
2008-10-27 19:00 . 2008-10-27 19:01 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\SANS\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 19:00 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 18:57 . 2008-10-27 19:56 <REP> d-------- C:\Program Files\RegCleaner
2008-10-27 18:51 . 2008-10-27 18:51 604 --a------ C:\Documents and Settings\Orph.egd
2008-10-27 18:50 . 2008-10-27 19:09 <REP> d-------- C:\ToolBar SD
2008-10-19 16:04 . 2008-10-19 16:04 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-19 16:04 . 2008-10-19 16:04 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-17 11:25 . 2008-10-17 11:25 396,288 --a------ C:\HijackThis.exe
2008-10-17 11:07 . 2008-10-28 23:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\fr
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\bits
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\l2schemas
2008-10-03 17:07 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-10-03 17:06 . 2008-10-27 19:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-10-03 16:55 . 2008-10-03 16:55 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2008-10-03 16:54 . 2008-10-03 16:54 <REP> d-------- C:\Program Files\Rosetta Stone
2008-10-03 16:54 . 2008-10-03 20:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Rosetta Stone

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 11:05 --------- d-----w C:\Program Files\Wanadoo
2008-10-28 20:00 --------- d-----w C:\Documents and Settings\SANS\Application Data\LimeWire
2008-10-27 19:12 --------- d-----w C:\Documents and Settings\SANS\Application Data\Desktopicon
2008-10-27 18:09 --------- d-----w C:\Program Files\LimeWire
2008-10-27 18:09 --------- d-----w C:\Program Files\Incomplete
2008-10-27 18:09 --------- d-----w C:\Program Files\Disc2Phone
2008-10-27 18:08 --------- d-----w C:\Documents and Settings\SANS\Application Data\vlc
2008-10-27 18:08 --------- d-----w C:\Documents and Settings\SANS\Application Data\utorrent
2008-10-03 17:36 --------- d-----w C:\Program Files\Unlocker
2008-09-27 17:17 --------- d-----w C:\Program Files\Zylom Games
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\SANS\Application Data\Zylom
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\GameHouse
2008-09-22 17:58 --------- d-----w C:\Program Files\VideoLAN
2008-09-20 15:04 --------- d-----w C:\Program Files\Google
2008-09-20 15:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sandlot Games
2008-09-19 19:24 --------- d-----w C:\Documents and Settings\SANS\Application Data\Leadertech
2008-09-09 19:50 --------- d-----w C:\Documents and Settings\SANS\Application Data\AdobeUM
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-07 18:36 --------- d-----w C:\Program Files\SurfingEnhancer
2008-09-07 18:31 --------- d-----w C:\Documents and Settings\SANS\Application Data\DogSupportBore
2008-09-07 17:58 25,085,704 ------w C:\antivir_workstation_winu_en_h.exe
2008-09-01 19:54 --------- d-----w C:\Documents and Settings\SANS\Application Data\PlayFirst
2008-09-01 19:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\PlayFirst
2007-11-14 14:15 480,606 ------w C:\Program Files\utorrent.lng
2007-11-14 14:10 384,436 ----a-w C:\Program Files\utorrent.exe
.

------- Sigcheck -------

2004-08-19 17:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\system32\svchost.exe

2007-03-08 16:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\$NtServicePackUninstall$\user32.dll
2006-12-13 12:48 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\ServicePackFiles\i386\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\system32\user32.dll

2004-08-19 17:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\system32\ws2_32.dll

2007-06-27 15:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
2007-08-20 10:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 00:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2007-12-07 02:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
2008-03-01 13:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll
2008-06-23 16:40 827904 52589bae67dd9859724287372668690b C:\WINDOWS\$hf_mig$\KB953838-IE7\SP2QFE\wininet.dll
2008-08-26 10:10 827904 4b0e70d44297877a313045bd059770e1 C:\WINDOWS\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
2006-12-13 12:46 818688 7cf0b0d5d9d47585853e2a6978441f64 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll
2007-06-27 14:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2007-08-20 10:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-10-11 00:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
2007-12-07 03:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll
2008-03-01 13:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\ie7updates\KB953838-IE7\wininet.dll
2008-06-23 17:28 826368 ac0bd61dc2c64906fbfe50e005fefa2c C:\WINDOWS\ie7updates\KB956390-IE7\wininet.dll
2008-04-14 03:33 670208 4a6e04ea20f48d750d9bfed8600d516b C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2008-04-23 05:16 826368 02d6aabd5f5a32c61478b5cdfe50e4a8 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2GDR\wininet.dll
2008-04-23 08:19 827392 78d3d2b0be6ad3e6d82ccb115cf74310 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2QFE\wininet.dll
2008-08-26 09:11 826368 e30cacd98479b36a3dbfa3267bf62dd0 C:\WINDOWS\system32\wininet.dll

2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys
2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2006-11-11 14:02 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\$NtUninstallKB951748_0$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-19 17:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\system32\winlogon.exe

2004-08-04 00:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 00:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\$NtServicePackUninstall$\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\system32\drivers\ip6fw.sys

2008-08-14 18:26 2068096 755b50949d0dbc0f0136b0db58765331 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2007-02-28 17:08 2019328 3e3df9f5d56b719f055e7d652e79f96b C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2005-09-29 19:28 2017792 7a319c9e0c14ed6410e8b2753e3a32ce C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2008-04-14 03:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\$NtUninstallKB956841$\ntkrnlpa.exe
2008-08-14 14:23 2068096 8da71f1900721e1e4fcb5b02d55fb771 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2008-04-14 03:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-08-14 14:23 2025984 f2dec52ed964ad57220b1f5aa32b5c61 C:\WINDOWS\system32\ntkrnlpa.exe

2008-08-14 18:26 2191232 d79210549bbf09b7638e860440504299 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
2007-02-28 17:08 2139648 de41f3b43b9f15e08ccd4b98a7bb2ca3 C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe
2005-09-29 19:28 2138112 cd6a9f81c8b9baf1e4393c6c476d17e7 C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2008-04-14 03:07 2147328 b10c36956eb7a8b1586dbe3b43875280 C:\WINDOWS\$NtUninstallKB956841$\ntoskrnl.exe
2008-08-14 14:23 2191232 c8d4d5974f9671da0a37175650912960 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2008-04-14 03:08 2191104 099d639da1ef6968d4e41795bb507e6b C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2008-08-14 14:23 2147328 e422f0930804a5d6e697e5d7dbfd9863 C:\WINDOWS\system32\ntoskrnl.exe

2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\explorer.exe
2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2006-11-18 23:59 1035264 7ba68df484b550c1f75dd80ae1d7ef67 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2004-08-19 17:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\$NtServicePackUninstall$\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\ServicePackFiles\i386\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\system32\services.exe

2004-08-19 17:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\system32\lsass.exe

2004-08-19 17:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\system32\ctfmon.exe

2006-12-13 12:49 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\system32\spoolsv.exe

2004-08-19 17:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\system32\userinit.exe

2004-08-19 17:09 297984 78f90c3e230ad122bcb116abad5fefe9 C:\WINDOWS\$NtServicePackUninstall$\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\ServicePackFiles\i386\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-14 7323648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=fkbdwz.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"msacm.enc"= ITIG726.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PI Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PI Monitor.lnk
backup=C:\WINDOWS\pss\PI Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^SANS^Menu Démarrer^Programmes^Démarrage^IcoSauve.lnk]
path=C:\Documents and Settings\SANS\Menu Démarrer\Programmes\Démarrage\IcoSauve.lnk
backup=C:\WINDOWS\pss\IcoSauve.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2007-12-15 11:02 482760 C:\Program Files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
-ra------ 2004-10-08 07:27 126976 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
-ra------ 2004-10-08 07:31 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2004-02-12 15:57 188416 C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2004-02-12 15:59 77824 C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
-ra------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-12-14 07:51 7323648 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-12-14 07:51 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-10-16 18:13 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 13:50 122880 C:\Program Files\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 15:55 32768 C:\PROGRA~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 13:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-12-14 07:51 1519616 C:\WINDOWS\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"=

R2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe [2004-03-29 49152]
S3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 79616]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 61536]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 9360]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 97088]

*Newly Created Service* - GTNDIS5
.
Contenu du dossier 'Tâches planifiées'

2008-10-28 C:\WINDOWS\Tasks\A75621D3919DA063.job
- c:\docume~1\sans\applic~1\dogsup~1\Moregreatflag.exe []
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\SANS\Application Data\Mozilla\Firefox\Profiles\47s0bwiv.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.msn.com/
FF -: plugin - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Program Files\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava11.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava12.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava13.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava14.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava32.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npoji610.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 12:12:16
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Heure de fin: 2008-10-29 12:14:45 - La machine a redémarré [SANS]
ComboFix-quarantined-files.txt 2008-10-29 11:14:41

Avant-CF: 53 462 495 232 octets libres
Après-CF: 53,426,528,256 octets libres

289 --- E O F --- 2008-10-29 10:55:41
0
Réponse 6 / 29
phk30 Messages postés 1066 Statut Membre 75
 
j'ai aussi mozilla firefox qui à planté je l'ai désinstallé et réinstallé mais rien ni fait est ce l'infection qui fait cela ?
0
Réponse 7 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
C'est possible, ton système doit être très instable...

Je vois deux infections sur ton rapport Combofix, j'ai besoin que tu me postes deux autres rapports pour pouvoir les traiter :

1) Télécharge OAD (Outil d'Aide au Diagnostic) sur ton bureau : OAD
→ Lance 'OAD.exe' en faisant un double clic sur le fichier
→ Saisis la valeur recherchée -> ' fkbdwz.dll ' ( fais un copier/coller : attention à ne pas faire d'erreur et à ne pas laisser un espace après le nom du fichier, sinon ça ne fonctionnera pas)
→ Type de recherche : sélectionne l'option 6 puis appuie sur la touche entrée
→ OAD va maintenant rechercher le fichier, laisse le travailler

→ Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé, fais en un copier/coller ici stp

Note : Certains Antivirus peuvent émettre une alerte lors de l'utilisation de ce programme, ignore la

2) - Désactive ton antivirus.
- Télécharge Lop S&D sur ton Bureau : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
- Double-clique dessus pour lancer l'installation
- Double-clique sur le raccourci Lop S&D présent sur ton Bureau
- Sélectionne la langue souhaitée, puis choisis l'option 1 (Recherche)
- Patiente jusqu'à la fin du scan
- Poste le rapport généré
- Réactive ton antivirus

Tutoriel pour t’aider : http://www.malekal.com//tutorial_Lop_SD.php

0
Réponse 8 / 29
phk30 Messages postés 1066 Statut Membre 75
 
une fenetre window s'ouvre en fin de scan qui ne trouve pas notepad.exe et me demande de faire demarrer recherche mais il trouve rien

Outil Aide Diagnostic Version 1.1

Recherche les fichiers crees a le meme date

Le système ne peut trouver le fichier C:\DOCUME~1\SANS\LOCALS~1\Temp\fichier3.txt.
Le système ne peut trouver le fichier C:\DOCUME~1\SANS\LOCALS~1\Temp\datefich.txt.
Impossible de trouver C:\DOCUME~1\SANS\LOCALS~1\Temp\cod*.txt
Le système ne peut trouver le fichier C:\DOCUME~1\SANS\LOCALS~1\Temp\datefich.txt.

Impossible de trouver C:\DOCUME~1\SANS\LOCALS~1\Temp\*.txt
0
Réponse 9 / 29
phk30 Messages postés 1066 Statut Membre 75
 
--------------------\\ Lop S&D 4.2.4-8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix FirstBios(tm) Desktop Pro Version 2.0 for IBM ThinkCentre.
USER : SANS ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:74 Go (Free:50 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 27-10-2008|09:15 )
Option : [1] ( 29/10/2008|15:35 )

--------------------\\ Listing des dossiers dans APPLIC~1

[17/04/2008|14:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[09/09/2008|20:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[17/04/2008|14:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[02/04/2007|09:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[27/10/2008|19:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
[26/09/2008|18:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\GameHouse
[20/09/2008|16:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[27/10/2008|19:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[31/03/2008|18:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[12/03/2008|12:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[05/04/2008|14:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mode Rule 64 Inter
[20/10/2007|12:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NannyMania
[16/03/2007|09:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
[27/10/2008|19:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Office Genuine Advantage
[01/09/2008|20:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\PlayFirst
[03/10/2008|20:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Rosetta Stone
[20/09/2008|16:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sandlot Games
[21/09/2007|16:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[27/01/2008|21:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[29/10/2008|13:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip
[12/03/2008|12:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[20/10/2007|10:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom

[31/01/2007|18:41] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[03/02/2007|10:25] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[31/01/2007|18:45] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[09/09/2008|20:50] C:\DOCUME~1\SANS\APPLIC~1\Adobe
[09/09/2008|20:50] C:\DOCUME~1\SANS\APPLIC~1\AdobeUM
[15/12/2007|22:26] C:\DOCUME~1\SANS\APPLIC~1\Ahead
[31/01/2007|19:04] C:\DOCUME~1\SANS\APPLIC~1\aignes
[03/02/2007|10:49] C:\DOCUME~1\SANS\APPLIC~1\ArcSoft
[21/09/2007|16:45] C:\DOCUME~1\SANS\APPLIC~1\CCleanup
[02/04/2007|09:48] C:\DOCUME~1\SANS\APPLIC~1\CyberLink
[25/03/2008|17:22] C:\DOCUME~1\SANS\APPLIC~1\DAEMON Tools
[27/10/2008|20:12] C:\DOCUME~1\SANS\APPLIC~1\Desktopicon
[07/09/2008|19:31] C:\DOCUME~1\SANS\APPLIC~1\DogSupportBore
[28/09/2007|12:31] C:\DOCUME~1\SANS\APPLIC~1\Google
[31/01/2007|19:04] C:\DOCUME~1\SANS\APPLIC~1\gtopala
[21/09/2007|14:21] C:\DOCUME~1\SANS\APPLIC~1\Help
[27/06/2008|13:25] C:\DOCUME~1\SANS\APPLIC~1\Icone
[26/09/2008|18:00] C:\DOCUME~1\SANS\APPLIC~1\Identities
[03/02/2007|10:44] C:\DOCUME~1\SANS\APPLIC~1\InterTrust
[05/12/2007|13:35] C:\DOCUME~1\SANS\APPLIC~1\Jane s Hotel
[19/09/2008|20:24] C:\DOCUME~1\SANS\APPLIC~1\Leadertech
[28/10/2008|21:00] C:\DOCUME~1\SANS\APPLIC~1\LimeWire
[31/01/2007|18:58] C:\DOCUME~1\SANS\APPLIC~1\Macromedia
[27/10/2008|19:00] C:\DOCUME~1\SANS\APPLIC~1\Malwarebytes
[09/09/2008|20:58] C:\DOCUME~1\SANS\APPLIC~1\Microsoft
[07/09/2008|21:31] C:\DOCUME~1\SANS\APPLIC~1\Mozilla
[01/09/2008|20:54] C:\DOCUME~1\SANS\APPLIC~1\PlayFirst
[31/01/2007|18:58] C:\DOCUME~1\SANS\APPLIC~1\Sun
[27/10/2008|19:08] C:\DOCUME~1\SANS\APPLIC~1\utorrent
[27/10/2008|19:08] C:\DOCUME~1\SANS\APPLIC~1\vlc
[22/12/2007|21:54] C:\DOCUME~1\SANS\APPLIC~1\WinRAR
[26/09/2008|18:00] C:\DOCUME~1\SANS\APPLIC~1\Zylom

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[29/10/2008 15:17][--a------] C:\WINDOWS\tasks\SCHEDLGU.TXT
[29/10/2008 15:00][--ah-----] C:\WINDOWS\tasks\A75621D3919DA063.job
[29/10/2008 15:18][--ah-----] C:\WINDOWS\tasks\SA.DAT
[06/09/2002 20:59][-r-h-----] C:\WINDOWS\tasks\desktop.ini

( A75621D3919DA063.job )=( c:\docume~1\sans\applic~1\dogsup~1\Moregreatflag.exe )

--------------------\\ Listing des dossiers dans C:\Program Files

[19/10/2008|16:06] C:\Program Files\Adobe
[25/03/2008|18:33] C:\Program Files\AGEIA Technologies
[02/04/2007|09:45] C:\Program Files\Ahead
[05/04/2008|14:50] C:\Program Files\Alwil Software
[03/02/2007|10:45] C:\Program Files\ArcSoft
[08/02/2007|10:00] C:\Program Files\ASUSTeK
[17/04/2008|14:49] C:\Program Files\Avira
[21/09/2007|16:36] C:\Program Files\CCleaner
[05/04/2008|15:08] C:\Program Files\Circle Developement
[27/10/2008|19:07] C:\Program Files\CleanUp!
[31/01/2007|18:38] C:\Program Files\ComPlus Applications
[02/04/2007|09:43] C:\Program Files\CyberLink
[25/03/2008|17:23] C:\Program Files\DAEMON Tools Lite
[27/10/2008|19:09] C:\Program Files\Disc2Phone
[31/03/2008|18:00] C:\Program Files\DogSupportBore
[01/05/2007|18:11] C:\Program Files\EA SPORTS
[29/10/2008|12:07] C:\Program Files\Fichiers communs
[20/09/2008|16:04] C:\Program Files\Google
[01/02/2007|15:25] C:\Program Files\IBM
[27/06/2008|13:23] C:\Program Files\Icone
[27/10/2008|19:09] C:\Program Files\Incomplete
[17/04/2008|15:39] C:\Program Files\InstallShield Installation Information
[15/10/2008|17:48] C:\Program Files\Internet Explorer
[31/01/2007|18:59] C:\Program Files\Java
[31/01/2007|18:47] C:\Program Files\JEUX
[27/06/2008|13:23] C:\Program Files\LETMIN
[27/10/2008|19:09] C:\Program Files\LimeWire
[22/09/2007|11:02] C:\Program Files\Logitech
[27/10/2008|19:01] C:\Program Files\Malwarebytes' Anti-Malware
[04/10/2008|22:56] C:\Program Files\Messenger
[17/04/2008|14:28] C:\Program Files\Messenger Plus! Live
[22/09/2007|13:58] C:\Program Files\MessengerPlus! 3
[31/01/2007|18:41] C:\Program Files\microsoft frontpage
[12/02/2007|13:43] C:\Program Files\Microsoft Office
[03/10/2008|17:11] C:\Program Files\Movie Maker
[29/10/2008|15:19] C:\Program Files\Mozilla Firefox
[03/10/2008|17:11] C:\Program Files\msn
[31/01/2007|18:37] C:\Program Files\MSN Gaming Zone
[12/03/2008|12:43] C:\Program Files\MSN Messenger
[31/01/2007|18:48] C:\Program Files\MSXML 4.0
[28/09/2007|08:46] C:\Program Files\MSXML 6.0
[03/10/2008|17:07] C:\Program Files\NetMeeting
[03/10/2008|17:07] C:\Program Files\Outlook Express
[22/12/2007|22:10] C:\Program Files\PhotoFiltre
[27/10/2008|19:56] C:\Program Files\RegCleaner
[03/10/2008|16:54] C:\Program Files\Rosetta Stone
[21/09/2007|14:15] C:\Program Files\SAGEM
[20/10/2007|14:38] C:\Program Files\ScreenMates
[21/09/2007|14:14] C:\Program Files\Securitoo
[07/09/2008|19:36] C:\Program Files\SurfingEnhancer
[31/01/2007|18:38] C:\Program Files\Uninstall Information
[03/10/2008|18:36] C:\Program Files\Unlocker
[31/01/2007|18:47] C:\Program Files\UTILS
[14/11/2007|15:13] C:\Program Files\uTorrent
[22/09/2008|18:58] C:\Program Files\VideoLAN
[17/04/2008|15:49] C:\Program Files\Visicom Media
[29/10/2008|12:05] C:\Program Files\Wanadoo
[12/03/2008|12:43] C:\Program Files\Windows Live
[31/01/2007|18:57] C:\Program Files\Windows Media Connect 2
[03/10/2008|17:07] C:\Program Files\Windows Media Player
[03/10/2008|17:07] C:\Program Files\Windows NT
[31/01/2007|18:40] C:\Program Files\WindowsUpdate
[13/10/2007|14:16] C:\Program Files\WinRAR
[17/10/2008|11:07] C:\Program Files\WinZip
[12/07/2007|18:11] C:\Program Files\Wireless 802.11g Monitor
[31/01/2007|18:58] C:\Program Files\WMV9_VCM
[31/01/2007|18:47] C:\Program Files\WSTARTUP
[31/01/2007|18:41] C:\Program Files\xerox
[27/09/2008|18:17] C:\Program Files\Zylom Games

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[22/04/2008|20:28] C:\Program Files\Fichiers communs\Adobe
[02/04/2007|09:45] C:\Program Files\Fichiers communs\Ahead
[08/02/2007|09:57] C:\Program Files\Fichiers communs\InstallShield
[31/01/2007|18:59] C:\Program Files\Fichiers communs\Java
[22/09/2007|11:02] C:\Program Files\Fichiers communs\Labtec
[03/10/2008|16:55] C:\Program Files\Fichiers communs\Macrovision Shared
[25/03/2008|18:33] C:\Program Files\Fichiers communs\Microsoft Shared
[31/01/2007|18:39] C:\Program Files\Fichiers communs\MSSoap
[31/01/2007|19:28] C:\Program Files\Fichiers communs\ODBC
[31/01/2007|18:39] C:\Program Files\Fichiers communs\Services
[31/01/2007|19:28] C:\Program Files\Fichiers communs\SpeechEngines
[03/10/2008|17:07] C:\Program Files\Fichiers communs\System
[12/03/2008|12:42] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[25/03/2008|18:33] C:\Program Files\Fichiers communs\Wise Installation Wizard

--------------------\\ Process

( 29 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mode Rule 64 Inter
C:\DOCUME~1\SANS\APPLIC~1\dogsup~1
C:\Program Files\dogsup~1
C:\Program Files\Circle Developement
C:\WINDOWS\Tasks\A75621D3919DA063.job

--------------------\\ Verification du Registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-29 15:36:38
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 16

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

[F:2][D:3]-> C:\DOCUME~1\SANS\LOCALS~1\Temp
[F:3][D:0]-> C:\DOCUME~1\SANS\Cookies
[F:58][D:4]-> C:\DOCUME~1\SANS\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 29/10/2008|15:37 - Option : [1]

--------------------\\ Fin du rapport a 15:37:11
0
Réponse 10 / 29
phk30 Messages postés 1066 Statut Membre 75
 
bonjour je suis toujours la en attente de la réponse en vous remerçiant à bientot merci.
0
Réponse 11 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Relance Lop S&D
Choisis cette fois-ci l'option 2 (Suppression)

Ne ferme pas la fenêtre lors de la suppression !

Poste le rapport généré (C:\lopR.txt)

0
Réponse 12 / 29
phk30 Messages postés 1066 Statut Membre 75
 
--------------------\\ Lop S&D 4.2.4-8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix FirstBios(tm) Desktop Pro Version 2.0 for IBM ThinkCentre.
USER : SANS ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:74 Go (Free:49 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 27-10-2008|09:15 )
Option : [2] ( 31/10/2008|22:50 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - C:\WINDOWS\Tasks\A75621D3919DA063.job
Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mode Rule 64 Inter
Supprime! - C:\DOCUME~1\SANS\APPLIC~1\dogsup~1
Supprime! - C:\Program Files\dogsup~1
Supprime! - C:\Program Files\Circle Developement

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Listing des dossiers dans APPLIC~1

[17/04/2008|14:27] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[09/09/2008|20:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[17/04/2008|14:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[02/04/2007|09:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[27/10/2008|19:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
[26/09/2008|18:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\GameHouse
[20/09/2008|16:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[27/10/2008|19:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[31/03/2008|18:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[12/03/2008|12:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[20/10/2007|12:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NannyMania
[16/03/2007|09:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\nView_Profiles
[27/10/2008|19:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Office Genuine Advantage
[01/09/2008|20:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\PlayFirst
[03/10/2008|20:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Rosetta Stone
[20/09/2008|16:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sandlot Games
[21/09/2007|16:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[27/01/2008|21:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[29/10/2008|13:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip
[12/03/2008|12:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[20/10/2007|10:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom

[31/01/2007|18:41] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[03/02/2007|10:25] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[31/01/2007|18:45] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[09/09/2008|20:50] C:\DOCUME~1\SANS\APPLIC~1\Adobe
[09/09/2008|20:50] C:\DOCUME~1\SANS\APPLIC~1\AdobeUM
[15/12/2007|22:26] C:\DOCUME~1\SANS\APPLIC~1\Ahead
[31/01/2007|19:04] C:\DOCUME~1\SANS\APPLIC~1\aignes
[03/02/2007|10:49] C:\DOCUME~1\SANS\APPLIC~1\ArcSoft
[21/09/2007|16:45] C:\DOCUME~1\SANS\APPLIC~1\CCleanup
[02/04/2007|09:48] C:\DOCUME~1\SANS\APPLIC~1\CyberLink
[25/03/2008|17:22] C:\DOCUME~1\SANS\APPLIC~1\DAEMON Tools
[27/10/2008|20:12] C:\DOCUME~1\SANS\APPLIC~1\Desktopicon
[28/09/2007|12:31] C:\DOCUME~1\SANS\APPLIC~1\Google
[31/01/2007|19:04] C:\DOCUME~1\SANS\APPLIC~1\gtopala
[21/09/2007|14:21] C:\DOCUME~1\SANS\APPLIC~1\Help
[27/06/2008|13:25] C:\DOCUME~1\SANS\APPLIC~1\Icone
[26/09/2008|18:00] C:\DOCUME~1\SANS\APPLIC~1\Identities
[03/02/2007|10:44] C:\DOCUME~1\SANS\APPLIC~1\InterTrust
[05/12/2007|13:35] C:\DOCUME~1\SANS\APPLIC~1\Jane s Hotel
[19/09/2008|20:24] C:\DOCUME~1\SANS\APPLIC~1\Leadertech
[31/10/2008|00:34] C:\DOCUME~1\SANS\APPLIC~1\LimeWire
[31/01/2007|18:58] C:\DOCUME~1\SANS\APPLIC~1\Macromedia
[27/10/2008|19:00] C:\DOCUME~1\SANS\APPLIC~1\Malwarebytes
[09/09/2008|20:58] C:\DOCUME~1\SANS\APPLIC~1\Microsoft
[07/09/2008|21:31] C:\DOCUME~1\SANS\APPLIC~1\Mozilla
[01/09/2008|20:54] C:\DOCUME~1\SANS\APPLIC~1\PlayFirst
[31/01/2007|18:58] C:\DOCUME~1\SANS\APPLIC~1\Sun
[27/10/2008|19:08] C:\DOCUME~1\SANS\APPLIC~1\utorrent
[31/10/2008|17:35] C:\DOCUME~1\SANS\APPLIC~1\vlc
[22/12/2007|21:54] C:\DOCUME~1\SANS\APPLIC~1\WinRAR
[26/09/2008|18:00] C:\DOCUME~1\SANS\APPLIC~1\Zylom

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[31/10/2008 02:01][--a------] C:\WINDOWS\tasks\SCHEDLGU.TXT
[31/10/2008 12:52][--ah-----] C:\WINDOWS\tasks\SA.DAT
[06/09/2002 20:59][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[19/10/2008|16:06] C:\Program Files\Adobe
[25/03/2008|18:33] C:\Program Files\AGEIA Technologies
[02/04/2007|09:45] C:\Program Files\Ahead
[05/04/2008|14:50] C:\Program Files\Alwil Software
[03/02/2007|10:45] C:\Program Files\ArcSoft
[08/02/2007|10:00] C:\Program Files\ASUSTeK
[17/04/2008|14:49] C:\Program Files\Avira
[21/09/2007|16:36] C:\Program Files\CCleaner
[27/10/2008|19:07] C:\Program Files\CleanUp!
[31/01/2007|18:38] C:\Program Files\ComPlus Applications
[02/04/2007|09:43] C:\Program Files\CyberLink
[25/03/2008|17:23] C:\Program Files\DAEMON Tools Lite
[27/10/2008|19:09] C:\Program Files\Disc2Phone
[01/05/2007|18:11] C:\Program Files\EA SPORTS
[29/10/2008|12:07] C:\Program Files\Fichiers communs
[20/09/2008|16:04] C:\Program Files\Google
[01/02/2007|15:25] C:\Program Files\IBM
[27/06/2008|13:23] C:\Program Files\Icone
[27/10/2008|19:09] C:\Program Files\Incomplete
[17/04/2008|15:39] C:\Program Files\InstallShield Installation Information
[15/10/2008|17:48] C:\Program Files\Internet Explorer
[31/01/2007|18:59] C:\Program Files\Java
[31/01/2007|18:47] C:\Program Files\JEUX
[27/06/2008|13:23] C:\Program Files\LETMIN
[27/10/2008|19:09] C:\Program Files\LimeWire
[22/09/2007|11:02] C:\Program Files\Logitech
[27/10/2008|19:01] C:\Program Files\Malwarebytes' Anti-Malware
[04/10/2008|22:56] C:\Program Files\Messenger
[17/04/2008|14:28] C:\Program Files\Messenger Plus! Live
[22/09/2007|13:58] C:\Program Files\MessengerPlus! 3
[31/01/2007|18:41] C:\Program Files\microsoft frontpage
[12/02/2007|13:43] C:\Program Files\Microsoft Office
[30/10/2008|17:39] C:\Program Files\Monte Cristo
[03/10/2008|17:11] C:\Program Files\Movie Maker
[31/10/2008|22:47] C:\Program Files\Mozilla Firefox
[03/10/2008|17:11] C:\Program Files\msn
[31/01/2007|18:37] C:\Program Files\MSN Gaming Zone
[12/03/2008|12:43] C:\Program Files\MSN Messenger
[31/01/2007|18:48] C:\Program Files\MSXML 4.0
[28/09/2007|08:46] C:\Program Files\MSXML 6.0
[03/10/2008|17:07] C:\Program Files\NetMeeting
[03/10/2008|17:07] C:\Program Files\Outlook Express
[22/12/2007|22:10] C:\Program Files\PhotoFiltre
[27/10/2008|19:56] C:\Program Files\RegCleaner
[03/10/2008|16:54] C:\Program Files\Rosetta Stone
[21/09/2007|14:15] C:\Program Files\SAGEM
[20/10/2007|14:38] C:\Program Files\ScreenMates
[21/09/2007|14:14] C:\Program Files\Securitoo
[07/09/2008|19:36] C:\Program Files\SurfingEnhancer
[31/01/2007|18:38] C:\Program Files\Uninstall Information
[03/10/2008|18:36] C:\Program Files\Unlocker
[31/01/2007|18:47] C:\Program Files\UTILS
[14/11/2007|15:13] C:\Program Files\uTorrent
[22/09/2008|18:58] C:\Program Files\VideoLAN
[17/04/2008|15:49] C:\Program Files\Visicom Media
[31/10/2008|15:28] C:\Program Files\Wanadoo
[12/03/2008|12:43] C:\Program Files\Windows Live
[31/01/2007|18:57] C:\Program Files\Windows Media Connect 2
[03/10/2008|17:07] C:\Program Files\Windows Media Player
[03/10/2008|17:07] C:\Program Files\Windows NT
[31/01/2007|18:40] C:\Program Files\WindowsUpdate
[13/10/2007|14:16] C:\Program Files\WinRAR
[17/10/2008|11:07] C:\Program Files\WinZip
[31/01/2007|18:58] C:\Program Files\WMV9_VCM
[31/01/2007|18:47] C:\Program Files\WSTARTUP
[31/01/2007|18:41] C:\Program Files\xerox
[27/09/2008|18:17] C:\Program Files\Zylom Games

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[22/04/2008|20:28] C:\Program Files\Fichiers communs\Adobe
[02/04/2007|09:45] C:\Program Files\Fichiers communs\Ahead
[08/02/2007|09:57] C:\Program Files\Fichiers communs\InstallShield
[31/01/2007|18:59] C:\Program Files\Fichiers communs\Java
[22/09/2007|11:02] C:\Program Files\Fichiers communs\Labtec
[03/10/2008|16:55] C:\Program Files\Fichiers communs\Macrovision Shared
[25/03/2008|18:33] C:\Program Files\Fichiers communs\Microsoft Shared
[31/01/2007|18:39] C:\Program Files\Fichiers communs\MSSoap
[31/01/2007|19:28] C:\Program Files\Fichiers communs\ODBC
[31/01/2007|18:39] C:\Program Files\Fichiers communs\Services
[31/01/2007|19:28] C:\Program Files\Fichiers communs\SpeechEngines
[03/10/2008|17:07] C:\Program Files\Fichiers communs\System
[12/03/2008|12:42] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[25/03/2008|18:33] C:\Program Files\Fichiers communs\Wise Installation Wizard

--------------------\\ Process

( 36 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-31 22:50:59
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 28

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

[F:79][D:4]-> C:\DOCUME~1\SANS\LOCALS~1\Temp
[F:31][D:0]-> C:\DOCUME~1\SANS\Cookies
[F:809][D:4]-> C:\DOCUME~1\SANS\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 29/10/2008|15:37 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 31/10/2008|22:52 - Option : [2]

--------------------\\ Fin du rapport a 22:52:41
0
Réponse 13 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
OK, refais un passage de Combofix (en prenant toujours les mêmes précautions) et poste le nouveau rapport stp
0
Réponse 14 / 29
phk30 Messages postés 1066 Statut Membre 75
 
ComboFix 08-10-29.04 - SANS 2008-11-01 18:30:29.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.283 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\SANS\Bureau\C-fix.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-01 au 2008-11-01 ))))))))))))))))))))))))))))))))))))
.

2008-10-30 17:39 . 2008-10-30 17:39 <REP> d-------- C:\Program Files\Monte Cristo
2008-10-29 15:35 . 2008-10-31 22:52 <REP> d-------- C:\Lop SD
2008-10-29 12:01 . 2008-10-29 12:04 <REP> d-------- C:\ComboFix
2008-10-27 19:15 . 2008-10-27 19:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-10-27 19:07 . 2008-10-27 19:07 <REP> d-------- C:\Program Files\CleanUp!
2008-10-27 19:00 . 2008-10-27 19:01 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\SANS\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 19:00 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 18:57 . 2008-10-27 19:56 <REP> d-------- C:\Program Files\RegCleaner
2008-10-27 18:51 . 2008-10-27 18:51 604 --a------ C:\Documents and Settings\Orph.egd
2008-10-27 18:50 . 2008-10-27 19:09 <REP> d-------- C:\ToolBar SD
2008-10-17 11:25 . 2008-10-17 11:25 396,288 --a------ C:\HijackThis.exe
2008-10-17 11:07 . 2008-10-29 13:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\fr
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\bits
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\l2schemas
2008-10-03 17:07 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-10-03 17:06 . 2008-10-27 19:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-10-03 16:55 . 2008-10-03 16:55 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2008-10-03 16:54 . 2008-10-03 16:54 <REP> d-------- C:\Program Files\Rosetta Stone
2008-10-03 16:54 . 2008-10-03 20:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Rosetta Stone

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-01 17:29 --------- d-----w C:\Program Files\Wanadoo
2008-10-31 16:35 --------- d-----w C:\Documents and Settings\SANS\Application Data\vlc
2008-10-30 23:34 --------- d-----w C:\Documents and Settings\SANS\Application Data\LimeWire
2008-10-29 14:52 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-27 19:12 --------- d-----w C:\Documents and Settings\SANS\Application Data\Desktopicon
2008-10-27 18:09 --------- d-----w C:\Program Files\LimeWire
2008-10-27 18:09 --------- d-----w C:\Program Files\Incomplete
2008-10-27 18:09 --------- d-----w C:\Program Files\Disc2Phone
2008-10-27 18:08 --------- d-----w C:\Documents and Settings\SANS\Application Data\utorrent
2008-10-03 17:36 --------- d-----w C:\Program Files\Unlocker
2008-09-27 17:17 --------- d-----w C:\Program Files\Zylom Games
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\SANS\Application Data\Zylom
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\GameHouse
2008-09-22 17:58 --------- d-----w C:\Program Files\VideoLAN
2008-09-20 15:04 --------- d-----w C:\Program Files\Google
2008-09-20 15:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sandlot Games
2008-09-19 19:24 --------- d-----w C:\Documents and Settings\SANS\Application Data\Leadertech
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-09 19:50 --------- d-----w C:\Documents and Settings\SANS\Application Data\AdobeUM
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-07 18:36 --------- d-----w C:\Program Files\SurfingEnhancer
2008-09-07 17:58 25,085,704 ------w C:\antivir_workstation_winu_en_h.exe
2008-09-01 19:54 --------- d-----w C:\Documents and Settings\SANS\Application Data\PlayFirst
2008-09-01 19:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\PlayFirst
2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2007-11-14 14:15 480,606 ------w C:\Program Files\utorrent.lng
2007-11-14 14:10 384,436 ----a-w C:\Program Files\utorrent.exe
.

------- Sigcheck -------

2004-08-19 17:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\system32\svchost.exe

2007-03-08 16:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\$NtServicePackUninstall$\user32.dll
2006-12-13 12:48 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\ServicePackFiles\i386\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\system32\user32.dll

2004-08-19 17:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\system32\ws2_32.dll

2007-06-27 15:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
2007-08-20 10:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 00:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2007-12-07 02:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
2008-03-01 13:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll
2008-06-23 16:40 827904 52589bae67dd9859724287372668690b C:\WINDOWS\$hf_mig$\KB953838-IE7\SP2QFE\wininet.dll
2008-08-26 10:10 827904 4b0e70d44297877a313045bd059770e1 C:\WINDOWS\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
2006-12-13 12:46 818688 7cf0b0d5d9d47585853e2a6978441f64 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll
2007-06-27 14:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2007-08-20 10:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-10-11 00:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
2007-12-07 03:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll
2008-03-01 13:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\ie7updates\KB953838-IE7\wininet.dll
2008-06-23 17:28 826368 ac0bd61dc2c64906fbfe50e005fefa2c C:\WINDOWS\ie7updates\KB956390-IE7\wininet.dll
2008-04-14 03:33 670208 4a6e04ea20f48d750d9bfed8600d516b C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2008-04-23 05:16 826368 02d6aabd5f5a32c61478b5cdfe50e4a8 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2GDR\wininet.dll
2008-04-23 08:19 827392 78d3d2b0be6ad3e6d82ccb115cf74310 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2QFE\wininet.dll
2008-08-26 09:11 826368 e30cacd98479b36a3dbfa3267bf62dd0 C:\WINDOWS\system32\wininet.dll

2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys
2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2006-11-11 14:02 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\$NtUninstallKB951748_0$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-19 17:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\system32\winlogon.exe

2004-08-04 00:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 00:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\$NtServicePackUninstall$\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\system32\drivers\ip6fw.sys

2008-08-14 18:26 2068096 755b50949d0dbc0f0136b0db58765331 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2007-02-28 17:08 2019328 3e3df9f5d56b719f055e7d652e79f96b C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2005-09-29 19:28 2017792 7a319c9e0c14ed6410e8b2753e3a32ce C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2008-04-14 03:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\$NtUninstallKB956841$\ntkrnlpa.exe
2008-08-14 14:23 2068096 8da71f1900721e1e4fcb5b02d55fb771 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2008-04-14 03:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-08-14 14:23 2025984 f2dec52ed964ad57220b1f5aa32b5c61 C:\WINDOWS\system32\ntkrnlpa.exe

2008-08-14 18:26 2191232 d79210549bbf09b7638e860440504299 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
2007-02-28 17:08 2139648 de41f3b43b9f15e08ccd4b98a7bb2ca3 C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe
2005-09-29 19:28 2138112 cd6a9f81c8b9baf1e4393c6c476d17e7 C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2008-04-14 03:07 2147328 b10c36956eb7a8b1586dbe3b43875280 C:\WINDOWS\$NtUninstallKB956841$\ntoskrnl.exe
2008-08-14 14:23 2191232 c8d4d5974f9671da0a37175650912960 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2008-04-14 03:08 2191104 099d639da1ef6968d4e41795bb507e6b C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2008-08-14 14:23 2147328 e422f0930804a5d6e697e5d7dbfd9863 C:\WINDOWS\system32\ntoskrnl.exe

2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\explorer.exe
2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2006-11-18 23:59 1035264 7ba68df484b550c1f75dd80ae1d7ef67 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2004-08-19 17:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\$NtServicePackUninstall$\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\ServicePackFiles\i386\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\system32\services.exe

2004-08-19 17:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\system32\lsass.exe

2004-08-19 17:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\system32\ctfmon.exe

2006-12-13 12:49 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\system32\spoolsv.exe

2004-08-19 17:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\system32\userinit.exe

2004-08-19 17:09 297984 78f90c3e230ad122bcb116abad5fefe9 C:\WINDOWS\$NtServicePackUninstall$\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\ServicePackFiles\i386\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-14 7323648]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=fkbdwz.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"msacm.enc"= ITIG726.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PI Monitor.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^SANS^Menu Démarrer^Programmes^Démarrage^IcoSauve.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2007-12-15 11:02 482760 C:\Program Files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
-ra------ 2004-10-08 07:27 126976 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
-ra------ 2004-10-08 07:31 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2004-02-12 15:57 188416 C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2004-02-12 15:59 77824 C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
-ra------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-12-14 07:51 7323648 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-12-14 07:51 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-10-16 18:13 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 13:50 122880 C:\Program Files\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 15:55 32768 C:\PROGRA~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 13:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-12-14 07:51 1519616 C:\WINDOWS\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"=

S3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 79616]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 61536]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 9360]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 97088]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\SANS\Application Data\Mozilla\Firefox\Profiles\47s0bwiv.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.msn.com/
FF -: plugin - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Program Files\Adobe\Acrobat 5.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava11.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava12.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava13.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava14.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjava32.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
FF -: plugin - C:\Program Files\Java\jre1.6.0\bin\npoji610.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-01 18:32:44
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-01 18:33:34
ComboFix-quarantined-files.txt 2008-11-01 17:33:31
ComboFix2.txt 2008-10-29 11:14:46

Avant-CF: 52 749 320 192 octets libres
Après-CF: 52,753,891,328 octets libres

266 --- E O F --- 2008-10-29 10:55:41
0
Réponse 15 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= -

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes

· Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

0
Réponse 16 / 29
phk30 Messages postés 1066 Statut Membre 75
 
je l'ai fait avec wordpad leblocnote a disparu et notepad aussi

ComboFix 08-10-29.04 - SANS 2008-11-03 14:54:55.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.272 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\SANS\Bureau\C-fix.exe
Commutateurs utilisés :: C:\Documents and Settings\SANS\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-03 au 2008-11-03 ))))))))))))))))))))))))))))))))))))
.

2008-11-02 18:13 . 2008-11-02 18:24 <REP> d-------- C:\Documents and Settings\SANS\Application Data\DeepBurner
2008-11-02 18:12 . 2008-11-02 18:12 <REP> d-------- C:\Program Files\Astonsoft
2008-10-30 17:39 . 2008-10-30 17:39 <REP> d-------- C:\Program Files\Monte Cristo
2008-10-29 15:35 . 2008-10-31 22:52 <REP> d-------- C:\Lop SD
2008-10-29 12:01 . 2008-10-29 12:04 <REP> d-------- C:\ComboFix
2008-10-27 19:15 . 2008-10-27 19:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-10-27 19:07 . 2008-10-27 19:07 <REP> d-------- C:\Program Files\CleanUp!
2008-10-27 19:00 . 2008-10-27 19:01 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\SANS\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 19:00 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 18:57 . 2008-10-27 19:56 <REP> d-------- C:\Program Files\RegCleaner
2008-10-27 18:51 . 2008-10-27 18:51 604 --a------ C:\Documents and Settings\Orph.egd
2008-10-27 18:50 . 2008-10-27 19:09 <REP> d-------- C:\ToolBar SD
2008-10-17 11:25 . 2008-10-17 11:25 396,288 --a------ C:\HijackThis.exe
2008-10-17 11:07 . 2008-10-29 13:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\fr
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\bits
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\l2schemas
2008-10-03 17:07 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-10-03 17:06 . 2008-10-27 19:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-10-03 16:55 . 2008-10-03 16:55 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2008-10-03 16:54 . 2008-10-03 16:54 <REP> d-------- C:\Program Files\Rosetta Stone
2008-10-03 16:54 . 2008-10-03 20:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Rosetta Stone

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 13:54 --------- d-----w C:\Program Files\Wanadoo
2008-11-01 21:55 --------- d-----w C:\Documents and Settings\SANS\Application Data\LimeWire
2008-10-31 16:35 --------- d-----w C:\Documents and Settings\SANS\Application Data\vlc
2008-10-29 14:52 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-27 19:12 --------- d-----w C:\Documents and Settings\SANS\Application Data\Desktopicon
2008-10-27 18:09 --------- d-----w C:\Program Files\LimeWire
2008-10-27 18:09 --------- d-----w C:\Program Files\Incomplete
2008-10-27 18:09 --------- d-----w C:\Program Files\Disc2Phone
2008-10-27 18:08 --------- d-----w C:\Documents and Settings\SANS\Application Data\utorrent
2008-10-03 17:36 --------- d-----w C:\Program Files\Unlocker
2008-09-27 17:17 --------- d-----w C:\Program Files\Zylom Games
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\SANS\Application Data\Zylom
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\GameHouse
2008-09-22 17:58 --------- d-----w C:\Program Files\VideoLAN
2008-09-20 15:04 --------- d-----w C:\Program Files\Google
2008-09-20 15:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sandlot Games
2008-09-19 19:24 --------- d-----w C:\Documents and Settings\SANS\Application Data\Leadertech
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-09 19:50 --------- d-----w C:\Documents and Settings\SANS\Application Data\AdobeUM
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-07 18:36 --------- d-----w C:\Program Files\SurfingEnhancer
2008-09-07 17:58 25,085,704 ------w C:\antivir_workstation_winu_en_h.exe
2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2007-11-14 14:15 480,606 ------w C:\Program Files\utorrent.lng
2007-11-14 14:10 384,436 ----a-w C:\Program Files\utorrent.exe
.

------- Sigcheck -------

2004-08-19 17:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\system32\svchost.exe

2007-03-08 16:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\$NtServicePackUninstall$\user32.dll
2006-12-13 12:48 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\ServicePackFiles\i386\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\system32\user32.dll

2004-08-19 17:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\system32\ws2_32.dll

2007-06-27 15:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
2007-08-20 10:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 00:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2007-12-07 02:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
2008-03-01 13:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll
2008-06-23 16:40 827904 52589bae67dd9859724287372668690b C:\WINDOWS\$hf_mig$\KB953838-IE7\SP2QFE\wininet.dll
2008-08-26 10:10 827904 4b0e70d44297877a313045bd059770e1 C:\WINDOWS\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
2006-12-13 12:46 818688 7cf0b0d5d9d47585853e2a6978441f64 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll
2007-06-27 14:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2007-08-20 10:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-10-11 00:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
2007-12-07 03:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll
2008-03-01 13:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\ie7updates\KB953838-IE7\wininet.dll
2008-06-23 17:28 826368 ac0bd61dc2c64906fbfe50e005fefa2c C:\WINDOWS\ie7updates\KB956390-IE7\wininet.dll
2008-04-14 03:33 670208 4a6e04ea20f48d750d9bfed8600d516b C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2008-04-23 05:16 826368 02d6aabd5f5a32c61478b5cdfe50e4a8 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2GDR\wininet.dll
2008-04-23 08:19 827392 78d3d2b0be6ad3e6d82ccb115cf74310 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2QFE\wininet.dll
2008-08-26 09:11 826368 e30cacd98479b36a3dbfa3267bf62dd0 C:\WINDOWS\system32\wininet.dll

2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys
2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2006-11-11 14:02 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\$NtUninstallKB951748_0$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-19 17:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\system32\winlogon.exe

2004-08-04 00:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 00:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\$NtServicePackUninstall$\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\system32\drivers\ip6fw.sys

2008-08-14 18:26 2068096 755b50949d0dbc0f0136b0db58765331 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2007-02-28 17:08 2019328 3e3df9f5d56b719f055e7d652e79f96b C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2005-09-29 19:28 2017792 7a319c9e0c14ed6410e8b2753e3a32ce C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2008-04-14 03:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\$NtUninstallKB956841$\ntkrnlpa.exe
2008-08-14 14:23 2068096 8da71f1900721e1e4fcb5b02d55fb771 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2008-04-14 03:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-08-14 14:23 2025984 f2dec52ed964ad57220b1f5aa32b5c61 C:\WINDOWS\system32\ntkrnlpa.exe

2008-08-14 18:26 2191232 d79210549bbf09b7638e860440504299 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
2007-02-28 17:08 2139648 de41f3b43b9f15e08ccd4b98a7bb2ca3 C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe
2005-09-29 19:28 2138112 cd6a9f81c8b9baf1e4393c6c476d17e7 C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2008-04-14 03:07 2147328 b10c36956eb7a8b1586dbe3b43875280 C:\WINDOWS\$NtUninstallKB956841$\ntoskrnl.exe
2008-08-14 14:23 2191232 c8d4d5974f9671da0a37175650912960 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2008-04-14 03:08 2191104 099d639da1ef6968d4e41795bb507e6b C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2008-08-14 14:23 2147328 e422f0930804a5d6e697e5d7dbfd9863 C:\WINDOWS\system32\ntoskrnl.exe

2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\explorer.exe
2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2006-11-18 23:59 1035264 7ba68df484b550c1f75dd80ae1d7ef67 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2004-08-19 17:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\$NtServicePackUninstall$\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\ServicePackFiles\i386\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\system32\services.exe

2004-08-19 17:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\system32\lsass.exe

2004-08-19 17:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\system32\ctfmon.exe

2006-12-13 12:49 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\system32\spoolsv.exe

2004-08-19 17:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\system32\userinit.exe

2004-08-19 17:09 297984 78f90c3e230ad122bcb116abad5fefe9 C:\WINDOWS\$NtServicePackUninstall$\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\ServicePackFiles\i386\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-14 7323648]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"msacm.enc"= ITIG726.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PI Monitor.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^SANS^Menu Démarrer^Programmes^Démarrage^IcoSauve.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2007-12-15 11:02 482760 C:\Program Files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
-ra------ 2004-10-08 07:27 126976 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
-ra------ 2004-10-08 07:31 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2004-02-12 15:57 188416 C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2004-02-12 15:59 77824 C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-12-14 07:51 7323648 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-12-14 07:51 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-10-16 18:13 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 13:50 122880 C:\Program Files\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 15:55 32768 C:\PROGRA~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 13:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-12-14 07:51 1519616 C:\WINDOWS\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"=

S3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 79616]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 61536]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 9360]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 97088]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-NeroCheck - C:\WINDOWS\system32\NeroCheck.exe

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 14:57:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-03 14:58:03
ComboFix-quarantined-files.txt 2008-11-03 13:58:01
ComboFix2.txt 2008-11-01 17:33:35
ComboFix3.txt 2008-10-29 11:14:46

Avant-CF: 52 655 693 824 octets libres
Après-CF: 52,685,086,720 octets libres

251 --- E O F --- 2008-10-29 10:55:41
0
Réponse 17 / 29
phk30 Messages postés 1066 Statut Membre 75
 
fait avec wordpad le blocnote ne fonctionne pas et notepad aussi
ComboFix 08-10-29.04 - SANS 2008-11-03 14:54:55.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.272 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\SANS\Bureau\C-fix.exe
Commutateurs utilisés :: C:\Documents and Settings\SANS\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-03 au 2008-11-03 ))))))))))))))))))))))))))))))))))))
.

2008-11-02 18:13 . 2008-11-02 18:24 <REP> d-------- C:\Documents and Settings\SANS\Application Data\DeepBurner
2008-11-02 18:12 . 2008-11-02 18:12 <REP> d-------- C:\Program Files\Astonsoft
2008-10-30 17:39 . 2008-10-30 17:39 <REP> d-------- C:\Program Files\Monte Cristo
2008-10-29 15:35 . 2008-10-31 22:52 <REP> d-------- C:\Lop SD
2008-10-29 12:01 . 2008-10-29 12:04 <REP> d-------- C:\ComboFix
2008-10-27 19:15 . 2008-10-27 19:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-10-27 19:07 . 2008-10-27 19:07 <REP> d-------- C:\Program Files\CleanUp!
2008-10-27 19:00 . 2008-10-27 19:01 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\SANS\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-27 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 19:00 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 19:00 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 18:57 . 2008-10-27 19:56 <REP> d-------- C:\Program Files\RegCleaner
2008-10-27 18:51 . 2008-10-27 18:51 604 --a------ C:\Documents and Settings\Orph.egd
2008-10-27 18:50 . 2008-10-27 19:09 <REP> d-------- C:\ToolBar SD
2008-10-17 11:25 . 2008-10-17 11:25 396,288 --a------ C:\HijackThis.exe
2008-10-17 11:07 . 2008-10-29 13:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\fr
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\system32\bits
2008-10-03 17:11 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\l2schemas
2008-10-03 17:07 . 2008-10-03 17:11 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-10-03 17:06 . 2008-10-27 19:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-10-03 16:55 . 2008-10-03 16:55 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2008-10-03 16:54 . 2008-10-03 16:54 <REP> d-------- C:\Program Files\Rosetta Stone
2008-10-03 16:54 . 2008-10-03 20:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Rosetta Stone

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 13:54 --------- d-----w C:\Program Files\Wanadoo
2008-11-01 21:55 --------- d-----w C:\Documents and Settings\SANS\Application Data\LimeWire
2008-10-31 16:35 --------- d-----w C:\Documents and Settings\SANS\Application Data\vlc
2008-10-29 14:52 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-27 19:12 --------- d-----w C:\Documents and Settings\SANS\Application Data\Desktopicon
2008-10-27 18:09 --------- d-----w C:\Program Files\LimeWire
2008-10-27 18:09 --------- d-----w C:\Program Files\Incomplete
2008-10-27 18:09 --------- d-----w C:\Program Files\Disc2Phone
2008-10-27 18:08 --------- d-----w C:\Documents and Settings\SANS\Application Data\utorrent
2008-10-03 17:36 --------- d-----w C:\Program Files\Unlocker
2008-09-27 17:17 --------- d-----w C:\Program Files\Zylom Games
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\SANS\Application Data\Zylom
2008-09-26 17:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\GameHouse
2008-09-22 17:58 --------- d-----w C:\Program Files\VideoLAN
2008-09-20 15:04 --------- d-----w C:\Program Files\Google
2008-09-20 15:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sandlot Games
2008-09-19 19:24 --------- d-----w C:\Documents and Settings\SANS\Application Data\Leadertech
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-09 19:50 --------- d-----w C:\Documents and Settings\SANS\Application Data\AdobeUM
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-07 18:36 --------- d-----w C:\Program Files\SurfingEnhancer
2008-09-07 17:58 25,085,704 ------w C:\antivir_workstation_winu_en_h.exe
2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2007-11-14 14:15 480,606 ------w C:\Program Files\utorrent.lng
2007-11-14 14:10 384,436 ----a-w C:\Program Files\utorrent.exe
.

------- Sigcheck -------

2004-08-19 17:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2008-04-14 03:34 14336 e4bdf223cd75478bf44567b4d5c2634d C:\WINDOWS\system32\svchost.exe

2007-03-08 16:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\$NtServicePackUninstall$\user32.dll
2006-12-13 12:48 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\ServicePackFiles\i386\user32.dll
2008-04-14 03:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\system32\user32.dll

2004-08-19 17:09 82944 eed74b969b2ca1acc558ff60fb420e28 C:\WINDOWS\$NtServicePackUninstall$\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll
2008-04-14 03:33 82432 fb836f9e62d82904c983ad21296a5d9c C:\WINDOWS\system32\ws2_32.dll

2007-06-27 15:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
2007-08-20 10:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 00:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2007-12-07 02:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
2008-03-01 13:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll
2008-06-23 16:40 827904 52589bae67dd9859724287372668690b C:\WINDOWS\$hf_mig$\KB953838-IE7\SP2QFE\wininet.dll
2008-08-26 10:10 827904 4b0e70d44297877a313045bd059770e1 C:\WINDOWS\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
2006-12-13 12:46 818688 7cf0b0d5d9d47585853e2a6978441f64 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll
2007-06-27 14:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2007-08-20 10:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-10-11 00:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
2007-12-07 03:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll
2008-03-01 13:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\ie7updates\KB953838-IE7\wininet.dll
2008-06-23 17:28 826368 ac0bd61dc2c64906fbfe50e005fefa2c C:\WINDOWS\ie7updates\KB956390-IE7\wininet.dll
2008-04-14 03:33 670208 4a6e04ea20f48d750d9bfed8600d516b C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2008-04-23 05:16 826368 02d6aabd5f5a32c61478b5cdfe50e4a8 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2GDR\wininet.dll
2008-04-23 08:19 827392 78d3d2b0be6ad3e6d82ccb115cf74310 C:\WINDOWS\SoftwareDistribution\Download\[u]0/u54c3b7a8a3c5c57c0110276bdacfc86\SP2QFE\wininet.dll
2008-08-26 09:11 826368 e30cacd98479b36a3dbfa3267bf62dd0 C:\WINDOWS\system32\wininet.dll

2007-10-30 17:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys
2008-06-20 12:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2008-06-20 11:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2006-11-11 14:02 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2007-10-30 18:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\$NtUninstallKB951748_0$\tcpip.sys
2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2008-06-20 12:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-19 17:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2008-04-14 03:34 512000 dd73d6b9f6b4cb630cf35b438b540174 C:\WINDOWS\system32\winlogon.exe

2004-08-04 00:14 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\ServicePackFiles\i386\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 00:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\$NtServicePackUninstall$\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\ServicePackFiles\i386\ip6fw.sys
2008-04-13 19:53 36608 3bb22519a194418d5fec05d800a19ad0 C:\WINDOWS\system32\drivers\ip6fw.sys

2008-08-14 18:26 2068096 755b50949d0dbc0f0136b0db58765331 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2007-02-28 17:08 2019328 3e3df9f5d56b719f055e7d652e79f96b C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2005-09-29 19:28 2017792 7a319c9e0c14ed6410e8b2753e3a32ce C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2008-04-14 03:07 2025984 92e82482cdb39929cf7b541a9648afae C:\WINDOWS\$NtUninstallKB956841$\ntkrnlpa.exe
2008-08-14 14:23 2068096 8da71f1900721e1e4fcb5b02d55fb771 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2008-04-14 03:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-08-14 14:23 2025984 f2dec52ed964ad57220b1f5aa32b5c61 C:\WINDOWS\system32\ntkrnlpa.exe

2008-08-14 18:26 2191232 d79210549bbf09b7638e860440504299 C:\WINDOWS\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
2007-02-28 17:08 2139648 de41f3b43b9f15e08ccd4b98a7bb2ca3 C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe
2005-09-29 19:28 2138112 cd6a9f81c8b9baf1e4393c6c476d17e7 C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2008-04-14 03:07 2147328 b10c36956eb7a8b1586dbe3b43875280 C:\WINDOWS\$NtUninstallKB956841$\ntoskrnl.exe
2008-08-14 14:23 2191232 c8d4d5974f9671da0a37175650912960 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2008-04-14 03:08 2191104 099d639da1ef6968d4e41795bb507e6b C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2008-08-14 14:23 2147328 e422f0930804a5d6e697e5d7dbfd9863 C:\WINDOWS\system32\ntoskrnl.exe

2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\explorer.exe
2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2006-11-18 23:59 1035264 7ba68df484b550c1f75dd80ae1d7ef67 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2004-08-19 17:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\$NtServicePackUninstall$\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\ServicePackFiles\i386\services.exe
2008-04-14 03:34 109056 54cb50058851d95e56ec70d09f70857f C:\WINDOWS\system32\services.exe

2004-08-19 17:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2008-04-14 03:34 13312 91e6024d6d4dcdecdb36c43ecf9bbecb C:\WINDOWS\system32\lsass.exe

2004-08-19 17:09 15360 64e41e8fee655b03e3f19ded21ba5118 C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2008-04-14 03:33 15360 59dc5bb82e4c8e0b3eadcfdbc44ba6e4 C:\WINDOWS\system32\ctfmon.exe

2006-12-13 12:49 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe
2008-04-14 03:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\system32\spoolsv.exe

2004-08-19 17:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc C:\WINDOWS\system32\userinit.exe

2004-08-19 17:09 297984 78f90c3e230ad122bcb116abad5fefe9 C:\WINDOWS\$NtServicePackUninstall$\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\ServicePackFiles\i386\termsrv.dll
2008-04-14 03:33 297984 710bc85a8c22626ee094439e3ea0d38c C:\WINDOWS\system32\termsrv.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-14 7323648]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoResolveSearch"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"MaxRecentDocs"= 15 (0xf)
"NoInstrumentation"= 0 (0x0)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
"DisallowCpl"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"msacm.enc"= ITIG726.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PI Monitor.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^SANS^Menu Démarrer^Programmes^Démarrage^IcoSauve.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2007-12-15 11:02 482760 C:\Program Files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
-ra------ 2004-10-08 07:27 126976 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
-ra------ 2004-10-08 07:31 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2004-02-12 15:57 188416 C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2004-02-12 15:59 77824 C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-12-14 07:51 7323648 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-12-14 07:51 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-10-16 18:13 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
--a------ 2004-08-23 13:50 122880 C:\Program Files\Wanadoo\Shell.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--------- 2004-10-14 15:55 32768 C:\PROGRA~1\Wanadoo\GestMAJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 13:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-12-14 07:51 1519616 C:\WINDOWS\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"C:\\Program Files\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"<NO NAME>"=

S3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 79616]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 61536]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 9360]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 97088]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-NeroCheck - C:\WINDOWS\system32\NeroCheck.exe

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 14:57:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-03 14:58:03
ComboFix-quarantined-files.txt 2008-11-03 13:58:01
ComboFix2.txt 2008-11-01 17:33:35
ComboFix3.txt 2008-10-29 11:14:46

Avant-CF: 52 655 693 824 octets libres
Après-CF: 52,685,086,720 octets libres

251 --- E O F --- 2008-10-29 10:55:41
0
Réponse 18 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Apparemment il a pris en compte le script :)

Poste un nouveau rapport hijackthis pour vérifier stp.

Pour finir, fais un scan en ligne BitDefender (uniquement sous Internet Explorer) : https://www.bitdefender.com/toolbox/

Poste le rapport complet ici quand ce sera terminé.

Tutoriel pour t'aider : http://perso.orange.fr/rginformatique/section%20virus/defender.htm (Merci à Balltrap34 pour cette réalisation)

0
Réponse 19 / 29
phk30 Messages postés 1066 Statut Membre 75
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:58, on 03/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\SANS\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O23 - Service: a-squared Free Service (a2free) - Unknown owner - D:\a-squared Free\a2service.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 20 / 29
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).

1) Sécurise ton ordinateur

- Anti-virus :
Antivir est un excellent choix, garde le. Juste un petit réglage à faire :
Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « expert mode » --> coche « Search for rootkits before scan »

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes utilisées par beaucoup d'infections...) : Télécharges-en un vrai. En gratuit, les plus simples sont Kerio et surtout PC Tools Firewall. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras :
- Tutoriel PcTools
- Tutoriel Kerio

- Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant (meilleur que celui d'a-squared, à toi de voir si tu souhaites garder les deux ou non)

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

- Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

- Je suppose également que ton Windows n'est pas à jour, puisque c'est une version « non-officielle » : ne t'étonne pas si ton ordinateur est à nouveau infecté dans le futur... Tous les conseils que j'ai pu te donner ne servent qu'à limiter les dégâts...

2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Ensuite, clique sur "Fix checked"

3) Menu démarrer → exécuter → tape combofix /u (l'espace est important) et valide.
Ensuite, télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.

4) Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.

6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet

7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide

Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
0