Sujet Précédent Sujet Suivant

Rootkit ? Non-identifié...

Résolu/Fermé
anekra - 25 oct. 2010 à 01:33
 anekra - 2 nov. 2010 à 15:31
Bonjour,

Bonjour,
Besoin d'un conseil. Ai choppé Antimalware Doctor en sautant sur un site hacké. McAfee avec sa navigation sécurisée n'a rien vu. J'ai éliminé le rogue mais il m'a laissé ses petits.
- démarrage lent, parfois l'ordi refuse de s'arrêter
- Les icones des fichiers sur le Bureau portent un cercle rouge avec un point d'exclamation
- Les liens dans Firefox sont redirigés Gomeo, des pages non-sollicitées s'ouvrent
- Windows Updates est HS
- Les fenêtres « processus hôte pour les services windows a cessé de fonctionner »
Je n'arrive pas à identifier le ou les méchants. Essayé MBAM, Gmer, Superantispyware, Cleaner 2011, Trojan remover et encore une demi-douzaine de logiciels de ce type... ils ne détectent rien.
ComboFix a semblé détecter quelque chose, j'ai gardé le rapport.
Est-ce que quelqu'un peut me conseiller sur la manière de nettoyer ?
Merci d'avance

A voir également:

24 réponses

  • 1
  • 2
Réponse 1 / 24
Utilisateur anonyme
25 oct. 2010 à 01:55
Salut,

Poste ton rapport Combofix stp...
0
anekra
25 oct. 2010 à 02:28
Merci pour ton intérêt...


ComboFix 10-10-22.05 - Propriétaire 23/10/2010 12:39:45.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3066.2161 [GMT 2:00]
Lancé depuis: c:\users\Propriétaire\Desktop\CCCM.exe
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un antivirus résident est actif

.
[i] ADS - Windows: deleted 72 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\pswi_preloaded.exe
c:\windows\AutoRun.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-23 au 2010-10-23 ))))))))))))))))))))))))))))))))))))
.

2010-10-23 10:50 . 2010-10-23 10:51 -------- d-----w- c:\users\Propriétaire\AppData\Local\temp
2010-10-23 10:50 . 2010-10-23 10:50 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-22 22:21 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-22 22:21 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-22 18:59 . 2010-10-22 18:59 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2010-10-22 18:59 . 2010-10-22 18:59 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\SUPERAntiSpyware.com
2010-10-22 18:59 . 2010-10-22 18:59 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-10-22 17:26 . 2010-10-22 17:26 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\thecleaner
2010-10-22 17:26 . 2010-10-22 22:06 -------- d-----w- c:\program files\The Cleaner
2010-10-20 20:36 . 2010-09-16 08:24 6084944 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{640AA3A8-407E-4DCA-B091-630B488FB9B9}\mpengine.dll
2010-10-20 15:30 . 2010-10-20 15:30 -------- d-----w- c:\program files\Loaris
2010-10-19 19:26 . 2010-10-19 19:26 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\Malwarebytes
2010-10-19 19:26 . 2010-10-22 22:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-19 19:26 . 2010-10-19 19:26 -------- d-----w- c:\programdata\Malwarebytes
2010-10-14 10:33 . 2010-09-13 13:56 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe
2010-10-14 10:33 . 2010-09-13 13:56 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2010-10-14 10:31 . 2010-08-31 15:46 954752 ----a-w- c:\windows\system32\mfc40.dll
2010-10-14 10:31 . 2010-08-31 15:46 954288 ----a-w- c:\windows\system32\mfc40u.dll
2010-10-14 10:31 . 2010-08-31 13:27 2038272 ----a-w- c:\windows\system32\win32k.sys
2010-10-14 10:31 . 2010-05-04 19:13 231424 ----a-w- c:\windows\system32\msshsq.dll
2010-10-14 10:31 . 2010-08-20 16:05 867328 ----a-w- c:\windows\system32\wmpmde.dll
2010-10-14 10:31 . 2010-08-31 15:44 531968 ----a-w- c:\windows\system32\comctl32.dll
2010-10-08 17:46 . 2010-08-26 04:23 13312 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2010-10-06 20:20 . 2010-10-06 20:20 -------- d-----w- c:\program files\McAfeeMOBK
2010-10-06 20:20 . 2010-04-13 18:10 54776 ----a-w- c:\windows\system32\drivers\MOBK.sys
2010-10-06 20:20 . 2010-10-06 20:20 -------- d-----w- c:\program files\McAfee Online Backup
2010-10-06 20:19 . 2010-08-24 12:57 9344 ----a-w- c:\windows\system32\drivers\mfeclnk.sys
2010-10-06 20:19 . 2010-08-24 12:57 24376 ----a-w- c:\program files\Mozilla Firefox\components\Scriptff.dll
2010-10-06 20:18 . 2010-08-24 12:57 84264 ----a-w- c:\windows\system32\drivers\mferkdet.sys
2010-10-06 20:18 . 2010-08-24 12:57 64304 ----a-w- c:\windows\system32\drivers\mfenlfk.sys
2010-10-06 20:18 . 2010-08-24 12:57 55840 ----a-w- c:\windows\system32\drivers\cfwids.sys
2010-10-06 20:18 . 2010-08-24 12:57 52104 ----a-w- c:\windows\system32\drivers\mfebopk.sys
2010-10-06 20:18 . 2010-08-24 12:57 312904 ----a-w- c:\windows\system32\drivers\mfefirek.sys
2010-10-06 20:18 . 2010-08-24 12:57 164808 ----a-w- c:\windows\system32\drivers\mfewfpk.sys
2010-10-06 20:18 . 2010-08-24 12:57 152992 ----a-w- c:\windows\system32\drivers\mfeavfk.sys
2010-10-06 20:18 . 2010-10-06 20:18 -------- d-----w- c:\program files\McAfee.com
2010-10-06 20:15 . 2010-08-24 12:57 141792 ----a-w- c:\windows\system32\mfevtps.exe
2010-10-06 18:50 . 2010-10-06 19:01 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\Apple Computer
2010-10-06 18:50 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-06 18:50 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-06 18:49 . 2010-10-06 18:50 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-06 18:49 . 2010-10-06 18:50 -------- d-----w- c:\program files\iTunes
2010-10-06 18:49 . 2010-10-06 18:49 -------- d-----w- c:\program files\iPod
2010-10-06 18:46 . 2010-10-06 18:46 -------- d-----w- c:\program files\Apple Software Update
2010-10-06 18:45 . 2010-10-21 06:32 -------- d-----w- c:\program files\Bonjour
2010-10-06 12:26 . 2010-10-06 12:26 3134904 ----a-w- c:\users\Public\DMSetup.exe
2010-09-29 07:48 . 2010-06-22 13:30 2048 ----a-w- c:\windows\system32\tzres.dll
2010-09-26 11:50 . 2010-09-26 11:55 145790328 ----a-w- c:\users\Public\kies_win.exe
2010-09-23 13:51 . 2010-09-23 13:51 -------- d-----w- c:\users\Public\141 origin

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-09 18:04 . 2010-09-09 17:14 53248 ----a-w- c:\windows\system32\drivers\rk_remover.sys
2010-09-09 17:52 . 2009-03-11 12:42 312344 ----a-w- c:\windows\system32\drivers\iaStor.sys
2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-08-24 12:57 . 2010-08-24 12:57 95600 ----a-w- c:\windows\system32\drivers\mfeapfk.sys
2010-08-24 12:57 . 2010-08-24 12:57 386712 ----a-w- c:\windows\system32\drivers\mfehidk.sys
2010-08-17 14:11 . 2010-09-15 10:46 128000 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-27 16:44 . 2010-07-27 16:44 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-07-27 16:44 . 2010-07-27 16:44 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2010-07-27 16:44 . 2010-07-27 16:44 197920 ----a-w- c:\windows\system32\dnssdX.dll
2010-07-27 16:44 . 2010-07-27 16:44 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-08-24 12:57 . 2010-10-06 20:19 24376 ----a-w- c:\program files\mozilla firefox\components\Scriptff.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK]
@="{3c3f3c1a-9153-7c05-f938-622e7003894d}"
[HKEY_CLASSES_ROOT\CLSID\{3c3f3c1a-9153-7c05-f938-622e7003894d}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK2]
@="{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}"
[HKEY_CLASSES_ROOT\CLSID\{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK3]
@="{b4caf489-1eec-c617-49ad-8d7088598c06}"
[HKEY_CLASSES_ROOT\CLSID\{b4caf489-1eec-c617-49ad-8d7088598c06}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-05-30 21718312]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PcSync2.exe" [2010-06-16 753664]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
"Google Update"="c:\users\Propriétaire\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-19 133104]
"tcactive"="c:\program files\The Cleaner\tcap.exe" [2010-03-29 2951680]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-09-28 2424560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-26 716800]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-09-10 1193848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\acaptuser32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1059758253-563987677-2854047822-1000]
"EnableNotificationsRef"=dword:00000003

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 moohelp;The Cleaner 2011 Helper Service;c:\program files\The Cleaner\mhelper.exe [2010-03-29 813056]
R3 athur;Atheros AR9271 Wireless Network Adapter Service; [x]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI; [x]
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2010-08-24 84264]
R3 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [2010-09-09 53248]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\DRIVERS\mfenlfk.sys [2010-08-24 64304]
S1 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [2010-08-24 164808]
S1 MOBKFilter;MOBKFilter;c:\windows\system32\DRIVERS\MOBK.sys [2010-04-13 54776]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 McMPFSvc;Service McAfee Personal Firewall;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 McNaiAnn;McAfee VirusScan Announcer;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe [2010-08-24 188136]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2010-08-24 141792]
S2 MOBKbackup;1%;c:\program files\McAfee Online Backup\MOBKbackup.exe [2010-04-13 229688]
S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2010-08-24 55840]
S3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2010-08-24 312904]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]
S3 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2008-04-15 51160]
S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [2007-04-09 8192]
S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-04-24 73728]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mfeavfk01

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
uInternet Settings,ProxyOverride = *.local
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21
FF - ProfilePath - c:\users\Propriétaire\AppData\Roaming\Mozilla\Firefox\Profiles\uqs0m4qo.default\
FF - prefs.js: browser.startup.homepage - hxxp://actu.voila.fr/|https://www.kommersant.ru/
FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\users\Propriétaire\AppData\Roaming\Mozilla\Firefox\Profiles\uqs0m4qo.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-klmdb.sys
SafeBoot-WudfPf
SafeBoot-WudfRd



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-23 12:51
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\users\PROPRI~1\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x87D87446]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x83580d24
\Driver\ACPI -> acpi.sys @ 0x8068cd68
\Driver\atapi -> ataport.SYS @ 0x832daa2c
\Driver\iaStor -> iaStor.sys @ 0x8323b78c
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ù*¹*%\OpenWithList]
@Class="Shell"

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-10-23 12:55:25
ComboFix-quarantined-files.txt 2010-10-23 10:55

Avant-CF: 45 482 438 656 octets libres
Après-CF: 47 458 775 040 octets libres

- - End Of File - - 0BEC78FDA52E183CD62480F8FA983BDE
0
Réponse 2 / 24
Profil bloqué
25 oct. 2010 à 02:02
--
poser une question c'est paraitre bête 5 minutes mais ne pas la poser c'est être bête toute sa vie. . . .
ATTENTION, UNE CHAUSSETTE PEUT EN CACHER UNE AUTRE!!!
0
Réponse 3 / 24
Utilisateur anonyme
Modifié par archet9 le 25/10/2010 à 13:17
Re

|==>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur/!\<==|
|===========>il est fort déconseillé de le transposer sur un autre ordinateur !<==========| -----------------------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées,(Antivirus et antispyware y compris) fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est en gras ci dessous :


KillAll::




File::
c:\program files\Loaris
c:\program files\Mozilla Firefox\components\Scriptff.dll



* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt * Quitte le Bloc Notes

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt



....."contributeur sécurité".....o°ô"
0
anekra
25 oct. 2010 à 12:44
Bonjour
et merci pour ton soutien. Voici le rapport du script sur Combofix.
P.S. depuis le passage du script Firefox refuse de démarrer, c'en a été trop pour lui, je ne savais pas qu'un jour j'allais dire merci à Explorer :-)


ComboFix 10-10-24.03 - Propriétaire 25/10/2010 11:58:52.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3066.1751 [GMT 2:00]
Lancé depuis: c:\users\Propriétaire\Desktop\MCMC.exe
Commutateurs utilisés :: c:\users\Propriétaire\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un antivirus résident est actif


FILE ::
"c:\program files\Loaris"
"c:\program files\Mozilla Firefox\components\Scriptff.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mozilla Firefox\components\Scriptff.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MFEAVFK
-------\Service_mfeavfk


((((((((((((((((((((((((((((( Fichiers créés du 2010-09-25 au 2010-10-25 ))))))))))))))))))))))))))))))))))))
.

2010-10-25 10:09 . 2010-10-25 10:12 -------- d-----w- c:\users\Propriétaire\AppData\Local\temp
2010-10-25 10:09 . 2010-10-25 10:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-24 22:11 . 2010-10-24 22:11 74752 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-10-24 22:11 . 2010-10-24 22:11 -------- d-----w- c:\program files\Prevx
2010-10-24 22:10 . 2010-10-24 23:22 -------- d-----w- c:\programdata\PrevxCSI
2010-10-24 22:07 . 2010-10-24 22:07 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-10-23 11:56 . 2010-10-07 23:21 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{0C94568D-96D8-4137-A3BD-B00FDBB4168A}\mpengine.dll
2010-10-23 10:32 . 2010-10-23 10:55 -------- d-----w- C:\CCCM
2010-10-22 18:59 . 2010-10-22 18:59 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2010-10-22 17:26 . 2010-10-22 17:26 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\thecleaner
2010-10-19 19:26 . 2010-10-19 19:26 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\Malwarebytes
2010-10-19 19:26 . 2010-10-19 19:26 -------- d-----w- c:\programdata\Malwarebytes
2010-10-14 10:33 . 2010-09-13 13:56 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe
2010-10-14 10:33 . 2010-09-13 13:56 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2010-10-14 10:31 . 2010-08-31 15:46 954752 ----a-w- c:\windows\system32\mfc40.dll
2010-10-14 10:31 . 2010-08-31 15:46 954288 ----a-w- c:\windows\system32\mfc40u.dll
2010-10-14 10:31 . 2010-08-31 13:27 2038272 ----a-w- c:\windows\system32\win32k.sys
2010-10-14 10:31 . 2010-05-04 19:13 231424 ----a-w- c:\windows\system32\msshsq.dll
2010-10-14 10:31 . 2010-08-20 16:05 867328 ----a-w- c:\windows\system32\wmpmde.dll
2010-10-14 10:31 . 2010-08-31 15:44 531968 ----a-w- c:\windows\system32\comctl32.dll
2010-10-08 17:46 . 2010-08-26 04:23 13312 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2010-10-06 20:20 . 2010-10-06 20:20 -------- d-----w- c:\program files\McAfeeMOBK
2010-10-06 20:20 . 2010-04-13 18:10 54776 ----a-w- c:\windows\system32\drivers\MOBK.sys
2010-10-06 20:20 . 2010-10-06 20:20 -------- d-----w- c:\program files\McAfee Online Backup
2010-10-06 20:19 . 2010-08-24 12:57 9344 ----a-w- c:\windows\system32\drivers\mfeclnk.sys
2010-10-06 20:18 . 2010-08-24 12:57 84264 ----a-w- c:\windows\system32\drivers\mferkdet.sys
2010-10-06 20:18 . 2010-08-24 12:57 64304 ----a-w- c:\windows\system32\drivers\mfenlfk.sys
2010-10-06 20:18 . 2010-08-24 12:57 55840 ----a-w- c:\windows\system32\drivers\cfwids.sys
2010-10-06 20:18 . 2010-08-24 12:57 52104 ----a-w- c:\windows\system32\drivers\mfebopk.sys
2010-10-06 20:18 . 2010-08-24 12:57 312904 ----a-w- c:\windows\system32\drivers\mfefirek.sys
2010-10-06 20:18 . 2010-08-24 12:57 164808 ----a-w- c:\windows\system32\drivers\mfewfpk.sys
2010-10-06 20:18 . 2010-08-24 12:57 152992 ----a-w- c:\windows\system32\drivers\mfeavfk.sys
2010-10-06 20:18 . 2010-10-06 20:18 -------- d-----w- c:\program files\McAfee.com
2010-10-06 20:15 . 2010-08-24 12:57 141792 ----a-w- c:\windows\system32\mfevtps.exe
2010-10-06 18:50 . 2010-10-06 19:01 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\Apple Computer
2010-10-06 18:50 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-06 18:50 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-06 18:49 . 2010-10-06 18:50 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-06 18:49 . 2010-10-06 18:50 -------- d-----w- c:\program files\iTunes
2010-10-06 18:49 . 2010-10-06 18:49 -------- d-----w- c:\program files\iPod
2010-10-06 18:46 . 2010-10-06 18:46 -------- d-----w- c:\program files\Apple Software Update
2010-10-06 12:26 . 2010-10-06 12:26 3134904 ----a-w- c:\users\Public\DMSetup.exe
2010-09-29 07:48 . 2010-06-22 13:30 2048 ----a-w- c:\windows\system32\tzres.dll
2010-09-26 11:50 . 2010-09-26 11:55 145790328 ----a-w- c:\users\Public\kies_win.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-09 18:04 . 2010-09-09 17:14 53248 ----a-w- c:\windows\system32\drivers\rk_remover.sys
2010-09-09 17:52 . 2009-03-11 12:42 312344 ----a-w- c:\windows\system32\drivers\iaStor.sys
2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-08-24 12:57 . 2010-08-24 12:57 95600 ----a-w- c:\windows\system32\drivers\mfeapfk.sys
2010-08-24 12:57 . 2010-08-24 12:57 386712 ----a-w- c:\windows\system32\drivers\mfehidk.sys
2010-08-17 14:11 . 2010-09-15 10:46 128000 ----a-w- c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK]
@="{3c3f3c1a-9153-7c05-f938-622e7003894d}"
[HKEY_CLASSES_ROOT\CLSID\{3c3f3c1a-9153-7c05-f938-622e7003894d}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK2]
@="{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}"
[HKEY_CLASSES_ROOT\CLSID\{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK3]
@="{b4caf489-1eec-c617-49ad-8d7088598c06}"
[HKEY_CLASSES_ROOT\CLSID\{b4caf489-1eec-c617-49ad-8d7088598c06}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PcSync2.exe" [2010-06-16 753664]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
"Google Update"="c:\users\Propriétaire\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-19 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-26 716800]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-09-10 1193848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1059758253-563987677-2854047822-1000]
"EnableNotificationsRef"=dword:00000003

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 athur;Atheros AR9271 Wireless Network Adapter Service; [x]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI; [x]
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2010-08-24 84264]
R3 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [2010-09-09 53248]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\DRIVERS\mfenlfk.sys [2010-08-24 64304]
S1 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [2010-08-24 164808]
S1 MOBKFilter;MOBKFilter;c:\windows\system32\DRIVERS\MOBK.sys [2010-04-13 54776]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 McMPFSvc;Service McAfee Personal Firewall;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 McNaiAnn;McAfee VirusScan Announcer;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe [2010-08-24 188136]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2010-08-24 141792]
S2 MOBKbackup;1%;c:\program files\McAfee Online Backup\MOBKbackup.exe [2010-04-13 229688]
S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2010-08-24 55840]
S3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2010-08-24 312904]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]
S3 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2008-04-15 51160]
S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [2007-04-09 8192]
S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-04-24 73728]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21
FF - ProfilePath - c:\users\Propriétaire\AppData\Roaming\Mozilla\Firefox\Profiles\uqs0m4qo.default\
FF - prefs.js: browser.startup.homepage - hxxp://actu.voila.fr/|https://www.kommersant.ru/
FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\users\Propriétaire\AppData\Roaming\Mozilla\Firefox\Profiles\uqs0m4qo.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-RemoveIT Pro v7Ent - c:\program files\Removeitpro\InCode Solutions\RemoveIT Pro v7 Enterprise\removeit.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-25 12:11
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x87CCB446]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x83577d24
\Driver\ACPI -> acpi.sys @ 0x8068ed68
\Driver\atapi -> ataport.SYS @ 0x832e0a2c
\Driver\iaStor -> iaStor.sys @ 0x8324178c
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ù*¹*%\OpenWithList]
@Class="Shell"

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(5204)
c:\progra~1\mcafee\SITEAD~1\saHook.dll
c:\program files\McAfee Online Backup\MOBKshell.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\system32\CISVC.EXE
c:\windows\system32\Ati2evxx.exe
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\rundll32.exe
c:\program files\O2Micro Flash Memory Card Driver\o2flash.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PSIService.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\McAfee\SystemCore\mcshield.exe
c:\program files\Common Files\McAfee\SystemCore\mfefire.exe
c:\windows\system32\vssvc.exe
c:\windows\system32\conime.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer.exe
c:\program files\Apoint2K\HidFind.exe
c:\program files\Apoint2K\Apntex.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\Common Files\Nokia\MPAPI\MPAPI3s.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\WUDFHost.exe
.
**************************************************************************
.
Heure de fin: 2010-10-25 12:20:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-25 10:20
ComboFix2.txt 2010-10-23 10:55

Avant-CF: 39 007 870 976 octets libres
Après-CF: 37 682 294 784 octets libres

- - End Of File - - 85A8DEE80B0520943A072606182DA40F
0
Réponse 4 / 24
Utilisateur anonyme
25 oct. 2010 à 13:30
Réinstalle firefox...et relance Combofix en prenant bien soin de désactiver Mcafee...

Lancé depuis: c:\users\Propriétaire\Desktop\CCCM.exe
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un antivirus résident est actif
0
anekra
25 oct. 2010 à 15:14
C'est ma faute : l'analyse en temps réel était désactivée "jusqu'au prochain redémarrage", je n'avais pas pensé aux redémarrages multiples. Voici une version sans McAfee, j'ai aussi désactivé le temps-réel de Defender mais il apparait quand même...
Merci pour ton aide.


ComboFix 10-10-24.03 - Propriétaire 25/10/2010 14:38:22.4.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3066.1718 [GMT 2:00]
Lancé depuis: c:\users\Propriétaire\Desktop\CMCMC.exe
Commutateurs utilisés :: c:\users\Propriétaire\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé

FILE ::
"c:\program files\Loaris"
"c:\program files\Mozilla Firefox\components\Scriptff.dll"
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-09-25 au 2010-10-25 ))))))))))))))))))))))))))))))))))))
.

2010-10-25 12:48 . 2010-10-25 12:48 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-25 11:36 . 2010-10-25 11:37 -------- d-----w- C:\MCMC
2010-10-25 10:09 . 2010-10-25 12:50 -------- d-----w- c:\users\Propriétaire\AppData\Local\temp
2010-10-24 22:11 . 2010-10-24 22:11 74752 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-10-24 22:11 . 2010-10-24 22:11 -------- d-----w- c:\program files\Prevx
2010-10-24 22:10 . 2010-10-24 23:22 -------- d-----w- c:\programdata\PrevxCSI
2010-10-24 22:07 . 2010-10-24 22:07 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-10-23 11:56 . 2010-10-07 23:21 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{0C94568D-96D8-4137-A3BD-B00FDBB4168A}\mpengine.dll
2010-10-23 10:32 . 2010-10-23 10:55 -------- d-----w- C:\CCCM
2010-10-22 18:59 . 2010-10-22 18:59 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2010-10-22 17:26 . 2010-10-22 17:26 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\thecleaner
2010-10-19 19:26 . 2010-10-19 19:26 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\Malwarebytes
2010-10-19 19:26 . 2010-10-19 19:26 -------- d-----w- c:\programdata\Malwarebytes
2010-10-14 10:33 . 2010-09-13 13:56 168960 ----a-w- c:\program files\Windows Media Player\wmplayer.exe
2010-10-14 10:33 . 2010-09-13 13:56 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2010-10-14 10:31 . 2010-08-31 15:46 954752 ----a-w- c:\windows\system32\mfc40.dll
2010-10-14 10:31 . 2010-08-31 15:46 954288 ----a-w- c:\windows\system32\mfc40u.dll
2010-10-14 10:31 . 2010-08-31 13:27 2038272 ----a-w- c:\windows\system32\win32k.sys
2010-10-14 10:31 . 2010-05-04 19:13 231424 ----a-w- c:\windows\system32\msshsq.dll
2010-10-14 10:31 . 2010-08-20 16:05 867328 ----a-w- c:\windows\system32\wmpmde.dll
2010-10-14 10:31 . 2010-08-31 15:44 531968 ----a-w- c:\windows\system32\comctl32.dll
2010-10-08 17:46 . 2010-08-26 04:23 13312 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2010-10-06 20:20 . 2010-10-06 20:20 -------- d-----w- c:\program files\McAfeeMOBK
2010-10-06 20:20 . 2010-04-13 18:10 54776 ----a-w- c:\windows\system32\drivers\MOBK.sys
2010-10-06 20:20 . 2010-10-06 20:20 -------- d-----w- c:\program files\McAfee Online Backup
2010-10-06 20:19 . 2010-08-24 12:57 9344 ----a-w- c:\windows\system32\drivers\mfeclnk.sys
2010-10-06 20:18 . 2010-08-24 12:57 84264 ----a-w- c:\windows\system32\drivers\mferkdet.sys
2010-10-06 20:18 . 2010-08-24 12:57 64304 ----a-w- c:\windows\system32\drivers\mfenlfk.sys
2010-10-06 20:18 . 2010-08-24 12:57 55840 ----a-w- c:\windows\system32\drivers\cfwids.sys
2010-10-06 20:18 . 2010-08-24 12:57 52104 ----a-w- c:\windows\system32\drivers\mfebopk.sys
2010-10-06 20:18 . 2010-08-24 12:57 312904 ----a-w- c:\windows\system32\drivers\mfefirek.sys
2010-10-06 20:18 . 2010-08-24 12:57 164808 ----a-w- c:\windows\system32\drivers\mfewfpk.sys
2010-10-06 20:18 . 2010-08-24 12:57 152992 ----a-w- c:\windows\system32\drivers\mfeavfk.sys
2010-10-06 20:18 . 2010-10-06 20:18 -------- d-----w- c:\program files\McAfee.com
2010-10-06 20:15 . 2010-08-24 12:57 141792 ----a-w- c:\windows\system32\mfevtps.exe
2010-10-06 18:50 . 2010-10-06 19:01 -------- d-----w- c:\users\Propriétaire\AppData\Roaming\Apple Computer
2010-10-06 18:50 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-06 18:50 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-06 18:49 . 2010-10-06 18:50 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-06 18:49 . 2010-10-06 18:50 -------- d-----w- c:\program files\iTunes
2010-10-06 18:49 . 2010-10-06 18:49 -------- d-----w- c:\program files\iPod
2010-10-06 18:46 . 2010-10-06 18:46 -------- d-----w- c:\program files\Apple Software Update
2010-10-06 12:26 . 2010-10-06 12:26 3134904 ----a-w- c:\users\Public\DMSetup.exe
2010-09-29 07:48 . 2010-06-22 13:30 2048 ----a-w- c:\windows\system32\tzres.dll
2010-09-26 11:50 . 2010-09-26 11:55 145790328 ----a-w- c:\users\Public\kies_win.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-09 18:04 . 2010-09-09 17:14 53248 ----a-w- c:\windows\system32\drivers\rk_remover.sys
2010-09-09 17:52 . 2009-03-11 12:42 312344 ----a-w- c:\windows\system32\drivers\iaStor.sys
2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-08-24 12:57 . 2010-08-24 12:57 95600 ----a-w- c:\windows\system32\drivers\mfeapfk.sys
2010-08-24 12:57 . 2010-08-24 12:57 386712 ----a-w- c:\windows\system32\drivers\mfehidk.sys
2010-08-17 14:11 . 2010-09-15 10:46 128000 ----a-w- c:\windows\system32\spoolsv.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK]
@="{3c3f3c1a-9153-7c05-f938-622e7003894d}"
[HKEY_CLASSES_ROOT\CLSID\{3c3f3c1a-9153-7c05-f938-622e7003894d}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK2]
@="{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}"
[HKEY_CLASSES_ROOT\CLSID\{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK3]
@="{b4caf489-1eec-c617-49ad-8d7088598c06}"
[HKEY_CLASSES_ROOT\CLSID\{b4caf489-1eec-c617-49ad-8d7088598c06}]
2010-04-13 18:11 2872120 ----a-w- c:\program files\McAfee Online Backup\MOBKshell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PcSync2.exe" [2010-06-16 753664]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
"Google Update"="c:\users\Propriétaire\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-19 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-26 716800]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-09-10 1193848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1059758253-563987677-2854047822-1000]
"EnableNotificationsRef"=dword:00000003

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 athur;Atheros AR9271 Wireless Network Adapter Service; [x]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI; [x]
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2010-08-24 84264]
R3 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [2010-09-09 53248]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\DRIVERS\mfenlfk.sys [2010-08-24 64304]
S1 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [2010-08-24 164808]
S1 MOBKFilter;MOBKFilter;c:\windows\system32\DRIVERS\MOBK.sys [2010-04-13 54776]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 McMPFSvc;Service McAfee Personal Firewall;c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 McNaiAnn;McAfee VirusScan Announcer;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [2010-03-10 271480]
S2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe [2010-08-24 188136]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2010-08-24 141792]
S2 MOBKbackup;1%;c:\program files\McAfee Online Backup\MOBKbackup.exe [2010-04-13 229688]
S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2010-08-24 55840]
S3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2010-08-24 312904]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]
S3 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2008-04-15 51160]
S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [2007-04-09 8192]
S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-04-24 73728]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21
FF - ProfilePath - c:\users\Propriétaire\AppData\Roaming\Mozilla\Firefox\Profiles\uqs0m4qo.default\
FF - prefs.js: browser.startup.homepage - hxxp://actu.voila.fr/|https://www.kommersant.ru/
FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - component: c:\users\Propriétaire\AppData\Roaming\Mozilla\Firefox\Profiles\uqs0m4qo.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-25 14:50
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x87D84446]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x83577d24
\Driver\ACPI -> acpi.sys @ 0x8068dd68
\Driver\atapi -> ataport.SYS @ 0x832dba2c
\Driver\iaStor -> iaStor.sys @ 0x8323c78c
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ù*¹*%\OpenWithList]
@Class="Shell"

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(3604)
c:\progra~1\mcafee\SITEAD~1\saHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\system32\CISVC.EXE
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\rundll32.exe
c:\program files\O2Micro Flash Memory Card Driver\o2flash.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PSIService.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\McAfee\SystemCore\mcshield.exe
c:\program files\Common Files\McAfee\SystemCore\mfefire.exe
c:\windows\system32\vssvc.exe
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer.exe
c:\windows\system32\conime.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\Apoint2K\HidFind.exe
c:\program files\Common Files\Nokia\MPAPI\MPAPI3s.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe
c:\program files\Apoint2K\Apntex.exe
c:\windows\system32\WUDFHost.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-10-25 14:57:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-25 12:56
ComboFix2.txt 2010-10-25 12:10
ComboFix3.txt 2010-10-25 10:20
ComboFix4.txt 2010-10-23 10:55

Avant-CF: 37 608 775 680 octets libres
Après-CF: 37 564 768 256 octets libres

- - End Of File - - 34BD42942B9E7EF0D6859D71F798F58F
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
Utilisateur anonyme
25 oct. 2010 à 16:56
Télécharge load tdsskiller (de Loup blanc) sur ton Bureau.
Cet outil est conçu pour automatiser les différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load tdsskiller
Sous Vista => Clic-droit "Exécuter en tant qu'administrateur"
* L'outil va se connecter à internet pour télécharger une copie à jour de TDSSKiller et lancer le scan.
* Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer.
* Le rapport s'ouvre spontanément, copie-colle le dans la prochaine réponse.

Si le rapport ne s'ouvre pas , il se trouve à la racine du disque : C:\tdsskiller\report.txt
0
anekra
25 oct. 2010 à 17:21
Merci ! Voici le rapport, il a éliminé le TDSS.tdl4 (j'avais raison dans le titre du message :-)) Windows Update remarche, logique.
Mais les icônes des fichiers sur le bureau portent toujours le cercle rouge avec le point d'exclamation. Repasser avec ComboFix ?



2010/10/25 17:04:58.0145 TDSS rootkit removing tool 2.4.5.0 Oct 25 2010 09:49:04
2010/10/25 17:04:58.0145 ================================================================================
2010/10/25 17:04:58.0145 SystemInfo:
2010/10/25 17:04:58.0145
2010/10/25 17:04:58.0145 OS Version: 6.0.6002 ServicePack: 2.0
2010/10/25 17:04:58.0145 Product type: Workstation
2010/10/25 17:04:58.0145 ComputerName: FIL
2010/10/25 17:04:58.0145 UserName: Propriétaire
2010/10/25 17:04:58.0145 Windows directory: C:\Windows
2010/10/25 17:04:58.0145 System windows directory: C:\Windows
2010/10/25 17:04:58.0145 Processor architecture: Intel x86
2010/10/25 17:04:58.0145 Number of processors: 2
2010/10/25 17:04:58.0145 Page size: 0x1000
2010/10/25 17:04:58.0145 Boot type: Normal boot
2010/10/25 17:04:58.0145 ================================================================================
2010/10/25 17:04:58.0722 Initialize success
2010/10/25 17:05:11.0140 ================================================================================
2010/10/25 17:05:11.0140 Scan started
2010/10/25 17:05:11.0140 Mode: Manual;
2010/10/25 17:05:11.0140 ================================================================================
2010/10/25 17:05:11.0857 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys
2010/10/25 17:05:11.0998 adp94xx (04f0fcac69c7c71a3ac4eb97fafc8303) C:\Windows\system32\drivers\adp94xx.sys
2010/10/25 17:05:12.0060 adpahci (60505e0041f7751bdbb80f88bf45c2ce) C:\Windows\system32\drivers\adpahci.sys
2010/10/25 17:05:12.0201 adpu160m (8a42779b02aec986eab64ecfc98f8bd7) C:\Windows\system32\drivers\adpu160m.sys
2010/10/25 17:05:12.0279 adpu320 (241c9e37f8ce45ef51c3de27515ca4e5) C:\Windows\system32\drivers\adpu320.sys
2010/10/25 17:05:12.0388 AFD (a201207363aa900abf1a388468688570) C:\Windows\system32\drivers\afd.sys
2010/10/25 17:05:12.0528 agp440 (13f9e33747e6b41a3ff305c37db0d360) C:\Windows\system32\drivers\agp440.sys
2010/10/25 17:05:12.0575 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
2010/10/25 17:05:12.0684 aliide (9eaef5fc9b8e351afa7e78a6fae91f91) C:\Windows\system32\drivers\aliide.sys
2010/10/25 17:05:12.0715 amdagp (c47344bc706e5f0b9dce369516661578) C:\Windows\system32\drivers\amdagp.sys
2010/10/25 17:05:12.0747 amdide (9b78a39a4c173fdbc1321e0dd659b34c) C:\Windows\system32\drivers\amdide.sys
2010/10/25 17:05:12.0856 AmdK7 (18f29b49ad23ecee3d2a826c725c8d48) C:\Windows\system32\drivers\amdk7.sys
2010/10/25 17:05:12.0887 AmdK8 (93ae7f7dd54ab986a6f1a1b37be7442d) C:\Windows\system32\drivers\amdk8.sys
2010/10/25 17:05:12.0996 AnyDVD (6ddda7f2deabf1e80acee14fe85c1d4f) C:\Windows\system32\Drivers\AnyDVD.sys
2010/10/25 17:05:13.0027 ApfiltrService (45f47f79ad3f587a334345fd2969354b) C:\Windows\system32\DRIVERS\Apfiltr.sys
2010/10/25 17:05:13.0199 arc (5d2888182fb46632511acee92fdad522) C:\Windows\system32\drivers\arc.sys
2010/10/25 17:05:13.0230 arcsas (5e2a321bd7c8b3624e41fdec3e244945) C:\Windows\system32\drivers\arcsas.sys
2010/10/25 17:05:13.0339 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
2010/10/25 17:05:13.0386 atapi (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys
2010/10/25 17:05:13.0651 atikmdag (be4d8fdc6b2598c46b2b5e6e4fbaafc5) C:\Windows\system32\DRIVERS\atikmdag.sys
2010/10/25 17:05:13.0823 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
2010/10/25 17:05:13.0870 blbdrive (d4df28447741fd3d953526e33a617397) C:\Windows\system32\drivers\blbdrive.sys
2010/10/25 17:05:13.0917 bowser (74b442b2be1260b7588c136177ceac66) C:\Windows\system32\DRIVERS\bowser.sys
2010/10/25 17:05:14.0010 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
2010/10/25 17:05:14.0041 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
2010/10/25 17:05:14.0073 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
2010/10/25 17:05:14.0197 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
2010/10/25 17:05:14.0213 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
2010/10/25 17:05:14.0322 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
2010/10/25 17:05:14.0385 BthEnum (6d39c954799b63ba866910234cf7d726) C:\Windows\system32\DRIVERS\BthEnum.sys
2010/10/25 17:05:14.0494 BTHMODEM (9a966a8e86d1771911ae34a20d11bff3) C:\Windows\system32\DRIVERS\bthmodem.sys
2010/10/25 17:05:14.0556 BthPan (5904efa25f829bf84ea6fb045134a1d8) C:\Windows\system32\DRIVERS\bthpan.sys
2010/10/25 17:05:14.0712 BTHPORT (5a3abaa2f8eece7aefb942773766e3db) C:\Windows\system32\Drivers\BTHport.sys
2010/10/25 17:05:14.0853 BTHUSB (94e2941280e3756a5e0bcb467865c43a) C:\Windows\system32\Drivers\BTHUSB.sys
2010/10/25 17:05:15.0009 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
2010/10/25 17:05:15.0087 cdrom (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys
2010/10/25 17:05:15.0243 cfwids (426ee59b25988bb3382fc0a3655deaa2) C:\Windows\system32\drivers\cfwids.sys
2010/10/25 17:05:15.0289 circlass (e5d4133f37219dbcfe102bc61072589d) C:\Windows\system32\drivers\circlass.sys
2010/10/25 17:05:15.0414 CLFS (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys
2010/10/25 17:05:15.0508 CmBatt (99afc3795b58cc478fbbbcdc658fcb56) C:\Windows\system32\DRIVERS\CmBatt.sys
2010/10/25 17:05:15.0601 cmdide (0ca25e686a4928484e9fdabd168ab629) C:\Windows\system32\drivers\cmdide.sys
2010/10/25 17:05:15.0679 CnxtHdAudService (b6e7991e3d6146c04c85cd31af22a381) C:\Windows\system32\drivers\CHDRT32.sys
2010/10/25 17:05:15.0773 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\DRIVERS\compbatt.sys
2010/10/25 17:05:15.0867 crcdisk (741e9dff4f42d2d8477d0fc1dc0df871) C:\Windows\system32\drivers\crcdisk.sys
2010/10/25 17:05:15.0960 Crusoe (1f07becdca750766a96cda811ba86410) C:\Windows\system32\drivers\crusoe.sys
2010/10/25 17:05:16.0054 DfsC (218d8ae46c88e82014f5d73d0236d9b2) C:\Windows\system32\Drivers\dfsc.sys
2010/10/25 17:05:16.0210 disk (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys
2010/10/25 17:05:16.0366 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
2010/10/25 17:05:16.0428 DXGKrnl (5c7e2097b91d689ded7a6ff90f0f3a25) C:\Windows\System32\drivers\dxgkrnl.sys
2010/10/25 17:05:16.0569 E1G60 (5425f74ac0c1dbd96a1e04f17d63f94c) C:\Windows\system32\DRIVERS\E1G60I32.sys
2010/10/25 17:05:16.0693 Ecache (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys
2010/10/25 17:05:16.0834 ElbyCDFL (ce37e3d51912e59c80c6d84337c0b4cd) C:\Windows\system32\Drivers\ElbyCDFL.sys
2010/10/25 17:05:16.0881 ElbyCDIO (178cc9403816c082d22a1d47fa1f9c85) C:\Windows\system32\Drivers\ElbyCDIO.sys
2010/10/25 17:05:17.0021 ElbyDelay (e205c313417da6fa7afe85912a310a65) C:\Windows\system32\Drivers\ElbyDelay.sys
2010/10/25 17:05:17.0068 elxstor (23b62471681a124889978f6295b3f4c6) C:\Windows\system32\drivers\elxstor.sys
2010/10/25 17:05:17.0177 ErrDev (3db974f3935483555d7148663f726c61) C:\Windows\system32\drivers\errdev.sys
2010/10/25 17:05:17.0255 exfat (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys
2010/10/25 17:05:17.0380 fastfat (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys
2010/10/25 17:05:17.0411 fdc (afe1e8b9782a0dd7fb46bbd88e43f89a) C:\Windows\system32\DRIVERS\fdc.sys
2010/10/25 17:05:17.0489 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
2010/10/25 17:05:17.0645 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
2010/10/25 17:05:17.0692 flpydisk (85b7cf99d532820495d68d747fda9ebd) C:\Windows\system32\DRIVERS\flpydisk.sys
2010/10/25 17:05:17.0770 FltMgr (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys
2010/10/25 17:05:17.0941 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
2010/10/25 17:05:17.0973 gagp30kx (34582a6e6573d54a07ece5fe24a126b5) C:\Windows\system32\drivers\gagp30kx.sys
2010/10/25 17:05:18.0004 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
2010/10/25 17:05:18.0129 HdAudAddService (3f90e001369a07243763bd5a523d8722) C:\Windows\system32\drivers\HdAudio.sys
2010/10/25 17:05:18.0191 HDAudBus (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys
2010/10/25 17:05:18.0316 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
2010/10/25 17:05:18.0347 HidIr (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
2010/10/25 17:05:18.0394 HidUsb (cca4b519b17e23a00b826c55716809cc) C:\Windows\system32\DRIVERS\hidusb.sys
2010/10/25 17:05:18.0565 HpCISSs (16ee7b23a009e00d835cdb79574a91a6) C:\Windows\system32\drivers\hpcisss.sys
2010/10/25 17:05:18.0753 HSF_DPV (fadd7095163cb3cb4073793ebb50fe75) C:\Windows\system32\DRIVERS\HSX_DPV.sys
2010/10/25 17:05:18.0909 HSXHWAZL (058783bedd17615d1fece09f77960436) C:\Windows\system32\DRIVERS\HSXHWAZL.sys
2010/10/25 17:05:18.0971 HTTP (f870aa3e254628ebeafe754108d664de) C:\Windows\system32\drivers\HTTP.sys
2010/10/25 17:05:19.0096 i2omp (c6b032d69650985468160fc9937cf5b4) C:\Windows\system32\drivers\i2omp.sys
2010/10/25 17:05:19.0174 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
2010/10/25 17:05:19.0377 iaStor (db0cc620b27a928d968c1a1e9cd9cb87) C:\Windows\system32\DRIVERS\iaStor.sys
2010/10/25 17:05:19.0548 iaStorV (54155ea1b0df185878e0fc9ec3ac3a14) C:\Windows\system32\drivers\iastorv.sys
2010/10/25 17:05:19.0611 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
2010/10/25 17:05:19.0767 intelide (83aa759f3189e6370c30de5dc5590718) C:\Windows\system32\drivers\intelide.sys
2010/10/25 17:05:19.0813 intelppm (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys
2010/10/25 17:05:19.0923 IpFilterDriver (62c265c38769b864cb25b4bcf62df6c3) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2010/10/25 17:05:19.0985 IPMIDRV (b25aaf203552b7b3491139d582b39ad1) C:\Windows\system32\drivers\ipmidrv.sys
2010/10/25 17:05:20.0110 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
2010/10/25 17:05:20.0157 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
2010/10/25 17:05:20.0281 isapnp (6c70698a3e5c4376c6ab5c7c17fb0614) C:\Windows\system32\drivers\isapnp.sys
2010/10/25 17:05:20.0313 iScsiPrt (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys
2010/10/25 17:05:20.0422 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
2010/10/25 17:05:20.0469 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
2010/10/25 17:05:20.0531 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
2010/10/25 17:05:20.0671 kbdhid (ede59ec70e25c24581add1fbec7325f7) C:\Windows\system32\DRIVERS\kbdhid.sys
2010/10/25 17:05:20.0827 KMWDFILTER (566c5fd480fdbce3ba5cf9fbcffaea9a) C:\Windows\system32\DRIVERS\KMWDFILTER.sys
2010/10/25 17:05:20.0952 KSecDD (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys
2010/10/25 17:05:21.0108 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
2010/10/25 17:05:21.0264 LSI_FC (c7e15e82879bf3235b559563d4185365) C:\Windows\system32\drivers\lsi_fc.sys
2010/10/25 17:05:21.0295 LSI_SAS (ee01ebae8c9bf0fa072e0ff68718920a) C:\Windows\system32\drivers\lsi_sas.sys
2010/10/25 17:05:21.0420 LSI_SCSI (912a04696e9ca30146a62afa1463dd5c) C:\Windows\system32\drivers\lsi_scsi.sys
2010/10/25 17:05:21.0451 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
2010/10/25 17:05:21.0685 mdmxsdk (0cea2d0d3fa284b85ed5b68365114f76) C:\Windows\system32\DRIVERS\mdmxsdk.sys
2010/10/25 17:05:21.0732 megasas (0001ce609d66632fa17b84705f658879) C:\Windows\system32\drivers\megasas.sys
2010/10/25 17:05:21.0857 MegaSR (c252f32cd9a49dbfc25ecf26ebd51a99) C:\Windows\system32\drivers\megasr.sys
2010/10/25 17:05:21.0888 mfeapfk (5bd0c401a8ee4a54f6176c0a10d595ae) C:\Windows\system32\drivers\mfeapfk.sys
2010/10/25 17:05:22.0029 mfebopk (b1498db38d129ed31650422fc8bab9c5) C:\Windows\system32\drivers\mfebopk.sys
2010/10/25 17:05:22.0185 mfefirek (51e9ccea45c78858a229afb6e682cf41) C:\Windows\system32\drivers\mfefirek.sys
2010/10/25 17:05:22.0341 mfehidk (32f7298664874715ce469a79078853c4) C:\Windows\system32\drivers\mfehidk.sys
2010/10/25 17:05:22.0481 mfenlfk (e920bfd5837aed4aef903cf1c7d3949e) C:\Windows\system32\DRIVERS\mfenlfk.sys
2010/10/25 17:05:22.0684 mferkdet (858337b64484cd80eee7d2eba5ac61bc) C:\Windows\system32\drivers\mferkdet.sys
2010/10/25 17:05:22.0887 mferkdk (41fe2f288e05a6c8ab85dd56770ffbad) C:\Windows\system32\drivers\mferkdk.sys
2010/10/25 17:05:23.0027 mfesmfk (096b52ea918aa909ba5903d79e129005) C:\Windows\system32\drivers\mfesmfk.sys
2010/10/25 17:05:23.0167 mfewfpk (dcfbf068951fb4086c6aef99c6330516) C:\Windows\system32\drivers\mfewfpk.sys
2010/10/25 17:05:23.0386 MOBKFilter (e896775837a8bce436348df460522394) C:\Windows\system32\DRIVERS\MOBK.sys
2010/10/25 17:05:23.0542 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
2010/10/25 17:05:23.0573 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
2010/10/25 17:05:23.0713 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
2010/10/25 17:05:23.0760 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys
2010/10/25 17:05:23.0916 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
2010/10/25 17:05:24.0057 mpio (511d011289755dd9f9a7579fb0b064e6) C:\Windows\system32\drivers\mpio.sys
2010/10/25 17:05:24.0088 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
2010/10/25 17:05:24.0228 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
2010/10/25 17:05:24.0275 MRxDAV (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys
2010/10/25 17:05:24.0400 mrxsmb (454341e652bdf5e01b0f2140232b073e) C:\Windows\system32\DRIVERS\mrxsmb.sys
2010/10/25 17:05:24.0431 mrxsmb10 (2a4901aff069944fa945ed5bbf4dcde3) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2010/10/25 17:05:24.0509 mrxsmb20 (28b3f1ab44bdd4432c041581412f17d9) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2010/10/25 17:05:24.0618 msahci (f70590424eefbf5c27a40c67afdb8383) C:\Windows\system32\drivers\msahci.sys
2010/10/25 17:05:24.0727 msdsm (4468b0f385a86ecddaf8d3ca662ec0e7) C:\Windows\system32\drivers\msdsm.sys
2010/10/25 17:05:24.0837 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
2010/10/25 17:05:24.0961 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
2010/10/25 17:05:25.0086 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
2010/10/25 17:05:25.0117 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
2010/10/25 17:05:25.0133 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
2010/10/25 17:05:25.0258 MsRPC (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys
2010/10/25 17:05:25.0305 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
2010/10/25 17:05:25.0429 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
2010/10/25 17:05:25.0492 Mup (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys
2010/10/25 17:05:25.0632 NativeWifiP (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS\nwifi.sys
2010/10/25 17:05:25.0897 NDIS (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers\ndis.sys
2010/10/25 17:05:26.0038 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys
2010/10/25 17:05:26.0069 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys
2010/10/25 17:05:26.0116 NdisWan (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS\ndiswan.sys
2010/10/25 17:05:26.0241 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
2010/10/25 17:05:26.0303 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys
2010/10/25 17:05:26.0475 netbt (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS\netbt.sys
2010/10/25 17:05:26.0646 NETw5v32 (8de67bd902095a13329fd82c85a1fa09) C:\Windows\system32\DRIVERS\NETw5v32.sys
2010/10/25 17:05:26.0818 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys
2010/10/25 17:05:26.0974 nmwcd (c3963d85b721a7f80d8a55f4e2867a3a) C:\Windows\system32\drivers\ccdcmb.sys
2010/10/25 17:05:27.0052 nmwcdc (3859c69a77793180548802dac9f34a38) C:\Windows\system32\drivers\ccdcmbo.sys
2010/10/25 17:05:27.0177 Npfs (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys
2010/10/25 17:05:27.0239 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys
2010/10/25 17:05:27.0364 Ntfs (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys
2010/10/25 17:05:27.0489 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys
2010/10/25 17:05:27.0520 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
2010/10/25 17:05:27.0551 nvraid (2edf9e7751554b42cbb60116de727101) C:\Windows\system32\drivers\nvraid.sys
2010/10/25 17:05:27.0691 nvstor (abed0c09758d1d97db0042dbb2688177) C:\Windows\system32\drivers\nvstor.sys
2010/10/25 17:05:27.0723 nv_agp (18bbdf913916b71bd54575bdb6eeac0b) C:\Windows\system32\drivers\nv_agp.sys
2010/10/25 17:05:27.0925 O2MDRDR (78575368974962042472f18b24d3cf28) C:\Windows\system32\DRIVERS\o2media.sys
2010/10/25 17:05:28.0050 ohci1394 (6f310e890d46e246e0e261a63d9b36b4) C:\Windows\system32\DRIVERS\ohci1394.sys
2010/10/25 17:05:28.0191 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys
2010/10/25 17:05:28.0269 partmgr (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys
2010/10/25 17:05:28.0393 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys
2010/10/25 17:05:28.0440 pccsmcfd (fd2041e9ba03db7764b2248f02475079) C:\Windows\system32\DRIVERS\pccsmcfd.sys
2010/10/25 17:05:28.0627 pci (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys
2010/10/25 17:05:28.0752 pciide (fc175f5ddab666d7f4d17449a547626f) C:\Windows\system32\drivers\pciide.sys
2010/10/25 17:05:28.0799 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
2010/10/25 17:05:28.0939 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
2010/10/25 17:05:29.0142 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys
2010/10/25 17:05:29.0173 Processor (2027293619dd0f047c584cf2e7df4ffd) C:\Windows\system32\drivers\processr.sys
2010/10/25 17:05:29.0236 PSched (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys
2010/10/25 17:05:29.0345 QIOMem (674eba70a52c02696e503b0a57ae6372) C:\Windows\system32\DRIVERS\QIOMem.sys
2010/10/25 17:05:29.0407 ql2300 (0a6db55afb7820c99aa1f3a1d270f4f6) C:\Windows\system32\drivers\ql2300.sys
2010/10/25 17:05:29.0532 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
2010/10/25 17:05:29.0563 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
2010/10/25 17:05:29.0610 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys
2010/10/25 17:05:29.0751 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys
2010/10/25 17:05:29.0797 RasPppoe (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERS\raspppoe.sys
2010/10/25 17:05:29.0875 RasSstp (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERS\rassstp.sys
2010/10/25 17:05:30.0000 rdbss (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERS\rdbss.sys
2010/10/25 17:05:30.0141 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
2010/10/25 17:05:30.0187 rdpdr (fbc0bacd9c3d7f6956853f64a66e252d) C:\Windows\system32\drivers\rdpdr.sys
2010/10/25 17:05:30.0328 RDPENCDD (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\drivers\rdpencdd.sys
2010/10/25 17:05:30.0375 RDPWD (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys
2010/10/25 17:05:30.0531 RFCOMM (6482707f9f4da0ecbab43b2e0398a101) C:\Windows\system32\DRIVERS\rfcomm.sys
2010/10/25 17:05:30.0702 rk_remover-boot (8cdcdcf155482090c0251f75ce63b443) C:\Windows\system32\drivers\rk_remover.sys
2010/10/25 17:05:30.0765 RMCAST (eec7ee5675294b03e88aa868540007c1) C:\Windows\system32\DRIVERS\RMCAST.sys
2010/10/25 17:05:30.0889 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys
2010/10/25 17:05:30.0936 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
2010/10/25 17:05:31.0045 sdbus (8f36b54688c31eed4580129040c6a3d3) C:\Windows\system32\DRIVERS\sdbus.sys
2010/10/25 17:05:31.0092 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2010/10/25 17:05:31.0233 Ser2pl (6ce397c482bede91a38e56a8c4a0dc6d) C:\Windows\system32\DRIVERS\ser2pl.sys
2010/10/25 17:05:31.0264 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\DRIVERS\serenum.sys
2010/10/25 17:05:31.0373 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys
2010/10/25 17:05:31.0435 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
2010/10/25 17:05:31.0591 sffdisk (3efa810bdca87f6ecc24f9832243fe86) C:\Windows\system32\drivers\sffdisk.sys
2010/10/25 17:05:31.0623 sffp_mmc (e95d451f7ea3e583aec75f3b3ee42dc5) C:\Windows\system32\drivers\sffp_mmc.sys
2010/10/25 17:05:31.0654 sffp_sd (3d0ea348784b7ac9ea9bd9f317980979) C:\Windows\system32\drivers\sffp_sd.sys
2010/10/25 17:05:31.0763 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
2010/10/25 17:05:31.0966 sisagp (1d76624a09a054f682d746b924e2dbc3) C:\Windows\system32\drivers\sisagp.sys
2010/10/25 17:05:32.0091 SiSRaid2 (43cb7aa756c7db280d01da9b676cfde2) C:\Windows\system32\drivers\sisraid2.sys
2010/10/25 17:05:32.0122 SiSRaid4 (a99c6c8b0baa970d8aa59ddc50b57f94) C:\Windows\system32\drivers\sisraid4.sys
2010/10/25 17:05:32.0309 Smb (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys
2010/10/25 17:05:32.0481 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
2010/10/25 17:05:32.0543 srv (ff3cbc13db84d81f56931bc922cc37c4) C:\Windows\system32\DRIVERS\srv.sys
2010/10/25 17:05:32.0730 srv2 (d15959d9f69f0d39a0153e9c244f20dd) C:\Windows\system32\DRIVERS\srv2.sys
2010/10/25 17:05:32.0761 srvnet (faa0d553a49e85008c6bb3781987c574) C:\Windows\system32\DRIVERS\srvnet.sys
2010/10/25 17:05:32.0917 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
2010/10/25 17:05:33.0089 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
2010/10/25 17:05:33.0120 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
2010/10/25 17:05:33.0183 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
2010/10/25 17:05:33.0401 Tcpip (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\drivers\tcpip.sys
2010/10/25 17:05:33.0651 Tcpip6 (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\DRIVERS\tcpip.sys
2010/10/25 17:05:33.0760 tcpipreg (608c345a255d82a6289c2d468eb41fd7) C:\Windows\system32\drivers\tcpipreg.sys
2010/10/25 17:05:33.0807 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys
2010/10/25 17:05:33.0853 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys
2010/10/25 17:05:33.0994 tdx (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS\tdx.sys
2010/10/25 17:05:34.0150 TermDD (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS\termdd.sys
2010/10/25 17:05:34.0228 tosrfec (5c4103544612e5011ef46301b93d1aa6) C:\Windows\system32\DRIVERS\tosrfec.sys
2010/10/25 17:05:34.0399 tos_sps32 (4399a9bf7d8f49991a07fd86590a1619) C:\Windows\system32\DRIVERS\tos_sps32.sys
2010/10/25 17:05:34.0540 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys
2010/10/25 17:05:34.0571 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys
2010/10/25 17:05:34.0727 tunnel (300db877ac094feab0be7688c3454a9c) C:\Windows\system32\DRIVERS\tunnel.sys
2010/10/25 17:05:34.0789 TVALZ (792a8b80f8188aba4b2be271583f3e46) C:\Windows\system32\DRIVERS\TVALZ_O.SYS
2010/10/25 17:05:34.0945 uagp35 (7d33c4db2ce363c8518d2dfcf533941f) C:\Windows\system32\drivers\uagp35.sys
2010/10/25 17:05:34.0992 udfs (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys
2010/10/25 17:05:35.0133 uliagpkx (b0acfdc9e4af279e9116c03e014b2b27) C:\Windows\system32\drivers\uliagpkx.sys
2010/10/25 17:05:35.0179 uliahci (9224bb254f591de4ca8d572a5f0d635c) C:\Windows\system32\drivers\uliahci.sys
2010/10/25 17:05:35.0304 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
2010/10/25 17:05:35.0335 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
2010/10/25 17:05:35.0367 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
2010/10/25 17:05:35.0538 upperdev (0ccadc7391021376edbb8aa649d04e68) C:\Windows\system32\DRIVERS\usbser_lowerflt.sys
2010/10/25 17:05:35.0679 USBAAPL (4b8a9c16b6d9258ed99c512aecb8c555) C:\Windows\system32\Drivers\usbaapl.sys
2010/10/25 17:05:35.0725 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
2010/10/25 17:05:35.0819 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
2010/10/25 17:05:35.0881 usbehci (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys
2010/10/25 17:05:36.0022 usbhub (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys
2010/10/25 17:05:36.0053 usbohci (38dbc7dd6cc5a72011f187425384388b) C:\Windows\system32\drivers\usbohci.sys
2010/10/25 17:05:36.0162 usbprint (b51e52acf758be00ef3a58ea452fe360) C:\Windows\system32\drivers\usbprint.sys
2010/10/25 17:05:36.0209 usbser (d575246188f63de0accf6eac5fb59e6a) C:\Windows\system32\DRIVERS\usbser.sys
2010/10/25 17:05:36.0256 UsbserFilt (68b4f83cccf70a2ff32ee142c234332a) C:\Windows\system32\DRIVERS\usbser_lowerfltj.sys
2010/10/25 17:05:36.0396 USBSTOR (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2010/10/25 17:05:36.0427 usbuhci (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys
2010/10/25 17:05:36.0537 usbvideo (e67998e8f14cb0627a769f6530bcb352) C:\Windows\system32\Drivers\usbvideo.sys
2010/10/25 17:05:36.0599 UVCFTR (8c5094a8ab24de7496c7c19942f2df04) C:\Windows\system32\Drivers\UVCFTR_S.SYS
2010/10/25 17:05:36.0708 vga (87b06e1f30b749a114f74622d013f8d4) C:\Windows\system32\DRIVERS\vgapnp.sys
2010/10/25 17:05:36.0771 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
2010/10/25 17:05:36.0880 viaagp (5d7159def58a800d5781ba3a879627bc) C:\Windows\system32\drivers\viaagp.sys
2010/10/25 17:05:36.0911 ViaC7 (c4f3a691b5bad343e6249bd8c2d45dee) C:\Windows\system32\drivers\viac7.sys
2010/10/25 17:05:37.0036 viaide (aadf5587a4063f52c2c3fed7887426fc) C:\Windows\system32\drivers\viaide.sys
2010/10/25 17:05:37.0083 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
2010/10/25 17:05:37.0270 volmgrx (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys
2010/10/25 17:05:37.0441 volsnap (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys
2010/10/25 17:05:37.0566 vsmraid (587253e09325e6bf226b299774b728a9) C:\Windows\system32\drivers\vsmraid.sys
2010/10/25 17:05:37.0613 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
2010/10/25 17:05:37.0785 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/10/25 17:05:37.0785 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/10/25 17:05:37.0925 Wd (78fe9542363f297b18c027b2d7e7c07f) C:\Windows\system32\drivers\wd.sys
2010/10/25 17:05:38.0050 Wdf01000 (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2010/10/25 17:05:38.0237 winachsf (bb9cbaf6ac20452b245c324f1f50ee81) C:\Windows\system32\DRIVERS\HSX_CNXT.sys
2010/10/25 17:05:38.0393 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2010/10/25 17:05:38.0565 WpdUsb (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys
2010/10/25 17:05:38.0689 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
2010/10/25 17:05:38.0861 WudfPf (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
2010/10/25 17:05:38.0892 WUDFRd (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
2010/10/25 17:05:38.0939 XAudio (dab33cfa9dd24251aaa389ff36b64d4b) C:\Windows\system32\DRIVERS\xaudio.sys
2010/10/25 17:05:39.0079 yukonwlh (d51febb9f6869512ea2b636e2b30df7b) C:\Windows\system32\DRIVERS\yk60x86.sys
2010/10/25 17:05:39.0126 \HardDisk0\MBR - detected Rootkit.Win32.TDSS.tdl4 (0)
2010/10/25 17:05:39.0126 ================================================================================
2010/10/25 17:05:39.0126 Scan finished
2010/10/25 17:05:39.0126 ================================================================================
2010/10/25 17:05:39.0142 Detected object count: 1
2010/10/25 17:06:01.0933 \HardDisk0\MBR - will be cured after reboot
2010/10/25 17:06:01.0933 Rootkit.Win32.TDSS.tdl4(\HardDisk0\MBR) - User select action: Cure
2010/10/25 17:06:08.0860 Deinitialize success
0
Réponse 6 / 24
Utilisateur anonyme
25 oct. 2010 à 17:40
Comment va le pc maintenant?
0
anekra
25 oct. 2010 à 18:42
Au redémarrage l'ordi a perdu le profil d'utilisateur. Arrêt complet + démarrage : profil retrouvé. Le démarrage est devenu plus rapide. Windows Update fionctionne. Firefox marche à nouveau. Pas de redirection, pas de "windows host à cessé....".
Restent les icônes des fichiers sur le Bureau modifiées : un cercle rouge avec un point d'exclamation à travers l'icône. Pas les dossiers, pas les icônes de Windows, juste les icônes de mes fichiers jpg, doc, pdf, ppt, txt, exe. Quand je déplace le fichier dans un dossier qui n'est pas sur le bureau, le sigle disparait. Retour sur le bureau : il réapparait.
0
Réponse 7 / 24
Utilisateur anonyme
25 oct. 2010 à 18:52
Pour les icones je ne sis pas....!!
fais ceci pour un diagnostic complet du PC :

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
0
anekra
25 oct. 2010 à 19:33
Voici le rapport de ZHPDiag http://www.cijoint.fr/cjlink.php?file=cj201010/cijRM8pxgk.txt
Et voici une capture, à quoi ressemblent les icônes sur le bureau maintenant : http://www.cijoint.fr/cjlink.php?file=cj201010/cij3OaNBLD.jpg

J'ai l'impression que c'est Antimalware Doctor qui a modifié les icônes - sauf que le rogue n'est plus là et les icônes restent modifiées...
Le chargement du profil d'utilisateur a planté deux fois au démarrage. C'est peut-être lié ?
Merci pour ton aide en tous cas.
0
Réponse 8 / 24
Utilisateur anonyme
25 oct. 2010 à 19:52
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

O4 - Global Startup: C:\Users\Propriétaire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Windows Explorer.lnk . (.Microsoft Corporation.) -- C:\Windows\explorer.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
O43 - CFD:Common File Directory ----D- C:\ProgramData\Partner
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe



- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html

-------------

* Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*lance le en option 2 et poste son rapport sur ton prochain message


==> Fais moi ensuite une copie d'écran de ta page d'accueil...


0
anekra
25 oct. 2010 à 20:49
Bonsoir :-)
J'ai appliqué les lignes Helper dans ZHPDiag. Le PC a planté au démarrage : écran bleu, pas de bureau. Plusieurs tentatives, aucun moyen. J'ai restauré avec le point de restauration enregistré juste après la suppression du rootkit. Ai vérifié avec TDSSkiller, RAS.
Delfix : quelle est l'option 2 ? J'ai fait "recherche", les deux rapports sont collés ici.


Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-25-10-2010-19-57-51.txt
Run by Propriétaire at 25/10/2010 19:57:51
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\Partner => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\propriétaire\appdata\roaming\microsoft\internet explorer\quick launch\windows explorer.lnk => Supprimé et mis en quarantaine
c:\windows\explorer.exe => Supprimé et mis en quarantaine
c:\program files\itunes\ituneshelper.exe => Supprimé et mis en quarantaine
c:\program files\quicktime\qttask.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Valeur(s) du Registre
1 : Dossier(s)
4 : Fichier(s)


End of the scan


Rapport DelFix v6.0 - 25/10/2010 à 20:42,25
Mis à jour le 22/10/10 à 13h30 par Xplode
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
Navigateur : Mozilla Firefox 3.6.11 (fr) [Navigateur par défaut]
Processeur : Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
Mémoire vive totale : 2,99 Go
Nom d'utilisateur : Propriétaire - FIL (Administrateur)
Exécuté depuis : C:\Users\Propriétaire\Desktop\DelFix.exe


~~~~~~ Dossier(s) ~~~~~~

Présent : C:\Qoobox
Présent : C:\tdsskiller
Présent : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\ComboFix.txt
Présent : C:\TDSSKiller.2.4.5.0_25.10.2010_17.04.58_log.txt
Présent : C:\TDSSKiller.2.4.5.0_25.10.2010_20.34.52_log.txt
Présent : C:\ZHPExportRegistry-25-10-2010-19-57-51.txt
Présent : C:\Windows\grep.exe
Présent : C:\Windows\PEV.exe
Présent : C:\Windows\NIRCMD.exe
Présent : C:\Windows\MBR.exe
Présent : C:\Windows\sed.exe
Présent : C:\Windows\SWREG.exe
Présent : C:\Windows\SWSC.exe
Présent : C:\Windows\SWXCACLS.exe
Présent : C:\Windows\zip.exe

~~~~~~ Registre ~~~~~~

Clé Présente : HKLM\Software\swearware
Clé Présente : HKLM\Software\OldTimer Tools


########## EOF - "C:\DelFixSearch.txt" - [1322 octets] ##########
0
Réponse 9 / 24
Utilisateur anonyme
Modifié par archet9 le 25/10/2010 à 20:55
Avec Delfix===> Supression


....."contributeur sécurité".....o°ô"
0
anekra
25 oct. 2010 à 21:09
Voici l'écran http://www.cijoint.fr/cjlink.php?file=cj201010/cijbOhXxzk.jpg

et le rapport Delfix - Suppression

Rapport DelFix v6.0 - 25/10/2010 à 21:01,59
Mis à jour le 22/10/10 à 13h30 par Xplode
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
Navigateur : Mozilla Firefox 3.6.11 (fr) [Navigateur par défaut]
Processeur : Intel(R) Core(TM)2 Duo CPU P8400 @ 2.26GHz
Mémoire vive totale : 2,99 Go
Nom d'utilisateur : Propriétaire - FIL (Administrateur)
Exécuté depuis : C:\Users\Propriétaire\Desktop\DelFix.exe


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\tdsskiller
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.5.0_25.10.2010_17.04.58_log.txt
Supprimé : C:\TDSSKiller.2.4.5.0_25.10.2010_20.34.52_log.txt
Supprimé : C:\ZHPExportRegistry-25-10-2010-19-57-51.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Propriétaire\Desktop\ComboFix0.txt
Supprimé : C:\Users\Propriétaire\Desktop\ComboFix1.txt
Supprimé : C:\Users\Propriétaire\Desktop\ComboFix2.txt
Supprimé : C:\Users\Propriétaire\Desktop\ComboFix3.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools

########## EOF - "C:\DelFixSuppr.txt" - [1564 octets] ##########
0
Réponse 10 / 24
Utilisateur anonyme
25 oct. 2010 à 21:19
Vire toutes ces icones icones........(clic doit etc...)
Redémarre et recopie d'ecran....
0
anekra
26 oct. 2010 à 08:59
Bonjour et merci pour ta patience. Ca fait 24 heures qu'on se prend la tête mais je pense qu'on n'est pas loin du bout.
Concernant les icônes : je ne vais pas virer tous mes fichiers ? En fait chaque nouveau document créé sur le Bureau a maintenant une icône avec le point d'interrogation en rouge. Si je le déplace dans un dossier à la racine ou ailleurs, le point d'interrogation disparait. Pareil pour les fichiers EXE que je place sur le Bureau. Regarde, j'ai fait les copies de mes doc et de deux exe, Combofix et Delfix, dans un dossier à la racine, tu les vois à côté des originaux : http://www.cijoint.fr/cj201010/cijmbKK0gW.jpg
Les points d'interrogations en rouge sont comme surimprimés par dessus les icônes sur le Bureau. C'est Antimalware Doctor qui les a ajouté... mais à sa disparition les icônes ne sont pas redevenues normales. Ca doit être un truc dans la configuration du Bureau... comme si quelqu'un voulait faire une blague en modifiant l'apparence des icônes sur le Bureau... sauf que je ne sais pas du tout dans quel fichier c'est écrit, ni à quel endroit il faut le modifier... Des idées la-dessus ?
0
Réponse 11 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 oct. 2010 à 21:21
Bonsoir,

je suis tombé par hasard sur ce topic.

Ce problème d'icône est très amusant (à cause de Vista, ou de 7 qui sont identiques sur ce point).

Pour Xp, il y avait une commande qui permettait d'associer un type de fichier et une icône. Ca n'existe plus sous Vista et 7 et il faut passer par la base de registre.

En plus, la recherche est en 2 étapes.

Si j'ai bien compris, ce sont les fichiers .txt et eux seuls qui sont concernés (si il y en a d'autres, il faudra faire la manip autant de fois que de types de fichiers concernés.

Pour le moment, on va voir ce qui se passe, on corrigera plus tard.

===

Ouvre le registre (Démarrer et exécuter * )

Tu as une fenêtre qui ressemble à l'Explorateur Windows (clique sur + ou - pour développer ou fermer l'arborescence).

Ouvre HKEY_CLASSES_ROOT et positionne toi sur .txt.

A droite, à la suite de "par défaut", sous données, tu devrais avoir "txtfile". Si ce n'est pas le cas, c'est cette valeur qu'il faudra rétablir.

Ensuite, toujours sous HKEY_CLASSES_ROOT, positionne toi sur txtfile et cliqque sur le + de DefaultIcon

Dans la fenêtre de droite, après "par défaut", tu as le nom d'un fichier et un chiffre. Ca devrait être %SystemRoot%\system32\imageres.dll,-102 (je ne suis pas sûr du 102 qui est celui de mon 7)

Donne nous le résultat de tout ceci.



* si Exécuter ne figure pas, fais ce qui est dit ici pour l'ajouter :

https://www.commentcamarche.net/faq/6987-vista-afficher-la-commande-executer-du-menu-demarrer
0
anekra
26 oct. 2010 à 00:48
Bonjour,
Merci pour ton aide. C'est encore plus vicieux dans mon cas. Tous les fichiers - txt, doc, jpg, exe, pdf, ppt... déposés sur le Bureau ou dans un dossier sur le Bureau, prennent en surimpression ce petit sigle rouge avec un point d'exclamation à travers l'icône. Si je les déplace dans un dossier qui se trouve ailleurs que sur le Bureau, le sigle disparaît. Retour sur le Bureau, retour du sigle rouge.
Regarde ici, j'ai copié les fichiers dans un dossier ouvert ailleurs, donc ils sont côte à côte avec les originaux. http://www.cijoint.fr/cj201010/cijmbKK0gW.jpg
Y compris les exe, qui gardent pourtant chacun leur propre icône (CMCMC.exe - c'est ComboFix renommé).
Mais les raccourcis, les icônes Windows, les icônes des dossiers restent intacts.
Donc la chose arrive à surimprimer sa marque par dessus les icônes des fichiers apportés par les programmes extérieurs à Windows, sans les modifier. Elle a réécrit quelque part le mode actif du Bureau ? ou je ne sais plus comment ça s'appelle... ni comment les faire revenir à l'état initial. Est-ce le fonctionnement "normal" d'Antimalware Doctor, d'ajouter ses sigles en surimpression pour faire peur ? Mais il a été éliminé. Qu'est-ce qu'il faut désinstaller encore pour enlever la surimpression, des idées à ce sujet ? Apparemment ce n'est pas la peine de désinstaller/réinstaller les logiciels puisque leurs icônes elles-mêmes sont intactes.

PS J'ai regardé dans le registre : les txt sont bien associés à txtfile, et c'est bien 102 pour l'icône. Apparemment le problème est ailleurs.
0
Réponse 12 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
26 oct. 2010 à 10:46
Bonjour,

désolé de mon erreur d'interprétation, ce n'est pas une "mauvaise" icône mais "quelque chose" qui se superpose.

Le problème est "comment" pour trouver comment supprimer.

Il n'y a pas de référence évidente (ou je n'ai pas trouvé).

===

Une première piste est le fichier cache (je n'y crois pas trop) :

http://forum.telecharger.01net.com/forum/high-tech/LOGICIELS/Windows-7/superposees-bureau-seven-sujet_355470_1.htm

Une autre version se contentait de supprimer le fichier et de redémarrer la session.

Je te suggère de ne faire que cela (suppression du fichier et redémarrage).

===

Une deuxième piste est une désinstallation "insuffisante" du rogue :

http://www.2-spyware.com/remove-antimalware-doctor.html

Peux tu regarder si tu as cette clé

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/UninstallAntimalware Doctor

et/ou ce fichier :

C:Documents and Settings\Propriétaire/My Documents/New Folder/setup/app7070010000.exe

===

Une troisième piste est le mécanisme "icon overlay" (mais le document par le coin inférieur gauche alors que tu es dans le coin inférieur droit, en apparence) :

https://docs.microsoft.com/en-us/previous-versions//cc144123(v=vs.85)?redirectedfrom=MSDN

Je me contente de stocker cette référence que je creuserai si les autres ne donnent rien.
0
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
26 oct. 2010 à 11:41
Salut,

Lyonnais, je pense que la 3ème piste est la bonne :

O41 - Driver: MOBKFilter (MOBKFilter) . (.Mozy, Inc. - Mozy Change Monitor Filter Driver.) - C:\Windows\system32\DRIVERS\MOBK.sys


Mozyhome --> sauvegarde de documents en ligne,
pour désactiver ces "icon overlays" , il suffit d'aller dans les options du logiciel ;-)

@ ++
0
anekra
26 oct. 2010 à 22:27
Bonjour,
J'ai regardé les trois pistes de réflexion, voici le résultat.

1ère piste
J'ai effacé le fichier IconCache.db. Redémarrage, aucun résultat. Les icônes toujours dans le même état, le fichier a été régénéré.

2ème piste
Ni la clé ni le fichier n'y sont plus. Aucune trace des lignes mentionnées dans http://www.2-spyware.com/remove-antimalware-doctor.html

3ème piste
Concernant MOBK
- Je suis allé dans HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Explorer
ShellIconOverlayIdentifiers
C'est l'emplacement indiqué dans l'un des liens que tu as cités, susceptible d'accueillir le « register an icon overlay handler »
Il y a trois clés MOBK, MOBK2, MOBK3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\MOBK
Plus quelques autres : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\EnhancedStorageShell
Et plusieurs versions de celle-ci : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\Groove Explorer Icon Overlay 1 (GFS Unread Stub)
- j'ai vérifié les propriétés de ce MOBK.sys : il est signé Mozy, Inc par VeriSign Class.- Mozy Change Monitor Filter Drive
- dans les services il apparait comme « MOBKbackup - McAfee Online Backup »
La date du fichier correspond à la date d'installation de McAfee sur ce PC.
J'ai trouvé sur le Web les mentions de Mozy comme prestataire pour McAfee.
Donc on peut peut-être écarter la piste MBOK ?

Est-ce qu'il existe des logiciels permettant de réaliser le "icon overlay" ? Je pourrais peut-être voir s'ils indiquent un "overlay" en cours...
0
Réponse 13 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
26 oct. 2010 à 23:28
Bonsoir,

c'est toi qui a installé Groove ?
0
anekra
26 oct. 2010 à 23:55
Non.
Il y a cinq clés Groove, elles renvoient vers des clés dans HKEY_CLASSES_ROOT qui pointent vers GrooveShellExtensions.dll dans le dossier Office. La date de ce fichier est ancienne.
0
Réponse 14 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
27 oct. 2010 à 10:56
Bonjour,

pour essayer d'avancer, je vais te demander un export de cette clé

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers

Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.
0
anekra
27 oct. 2010 à 11:06
Bonjour
Merci pour ton implication. Voici la clé

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\EnhancedStorageShell]
@="{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\Groove Explorer Icon Overlay 1 (GFS Unread Stub)]
@="{99FD978C-D287-4F50-827F-B2C658EDA8E7}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\Groove Explorer Icon Overlay 2 (GFS Stub)]
@="{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)]
@="{920E6DB1-9907-4370-B3A0-BAFC03D81399}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\Groove Explorer Icon Overlay 3 (GFS Folder)]
@="{16F3DD56-1AF5-4347-846D-7C10C4192619}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\Groove Explorer Icon Overlay 4 (GFS Unread Mark)]
@="{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\MOBK]
@="{3c3f3c1a-9153-7c05-f938-622e7003894d}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\MOBK2]
@="{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers\MOBK3]
@="{b4caf489-1eec-c617-49ad-8d7088598c06}"
0
Réponse 15 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
27 oct. 2010 à 11:44
Re,

si on écarte MOBK et Groove, il reste le "standard".

Exporte la clé HKEY_CLASSES_ROOT\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}
0
anekra
27 oct. 2010 à 11:52
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}]
@="Enhanced Storage Icon Overlay Handler Class"
"AppID"="{CC70FEAD-94B9-4F76-88CC-004BB068ACDF}"

[HKEY_CLASSES_ROOT\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,45,00,68,00,\
53,00,74,00,6f,00,72,00,53,00,68,00,65,00,6c,00,6c,00,2e,00,64,00,6c,00,6c,\
00,00,00
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\ProgID]
@="EhStorShell.IconOverlayHandler.1"

[HKEY_CLASSES_ROOT\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\TypeLib]
@="{B3A00612-1423-4072-A4F9-DE2ADCAA7F3C}"

[HKEY_CLASSES_ROOT\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\VersionIndependentProgID]
@="EhStorShell.IconOverlayHandler"
0
Réponse 16 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
27 oct. 2010 à 13:12
Re,

pas de lézard (identique à ce que j'ai).

Dans mon 7 64 bits, il y a une autre occurence de ShellIconOverlayIdentifiers.

On va voir ce qui se passe chez toi.

Ouvre le registre, mets en surbrillance "ordinateur" (pour être positionné au début).

Clique sur Edition puis Rechercher. Coche clés, valeurs et Données.

Copie Ctrl C et Ctrl V ShellIconOverlayIdentifiers (attention à ne pas avoir de parasites du type espace à la fin).

La première clé devrait être celle déjà vue (son nom s'affiche en bas de la fenêtre).

Clique sur F3.

En as tu une autre, voire plusieurs ?
0
anekra
27 oct. 2010 à 14:15
C'est fait. Non, il n'y a pas d'autres clés ShellIconOverlayIdentifiers dans le registre.

J'ai cherché parmi les logiciels susceptibles de modifier les icônes : souvent ils proposent d'intervenir sur le coin inférieur gauche, là où il y a la flèche indiquant le raccourci.
Adobe Acrobat utilise le coin inférieur droit quand il affiche l'image réduite du document dans son icône et colle un petit sigle Acrobat dans le coin. Ce sigle se pose à peu près à l'endroit où j'ai le point d'exclamation.
J'ai vérifié en modifiant la taille des icônes sur le Bureau en « affichage grandes icônes » : non, le sigle Acrobat et le sigle du point d'exclamation sont bien présents tous les deux, ils se sont éloignés comme ici : http://www.cijoint.fr/cj201010/cijyPhouLW.jpg
Donc le sigle qui nous intéresse est une espèce de masque fixe crée à la taille des icônes classiques de Windows. Peut-être que ça signifie qu'il s'agit d'un logiciel ancien. Ou peut-être que cette info n'est pas pertinente.
0
anekra
27 oct. 2010 à 19:37
Annulation du précédent.
J'ai revérifié le registre en cherchant sur ShellIconOverlayIdentifiers et il y a deux occurrences qui m'ont échappé la première fois. Désolé. Les voici.
celle-ci :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"View"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,00,83,ff,ff,00,83,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,36,00,00,00,20,00,00,00,7b,05,00,00,5a,03,00,00,ad,01,00,\
00,c7,01,00,00,37,00,00,00,d2,02,00,00,01,00,00,00
"FindFlags"=dword:0000000e
"LastKey"="Ordinateur\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\explorer\\ShellIconOverlayIdentifiers"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray]
"Services"=dword:0000001f
"HotPlugFlags"=dword:00000002


et aussi celle-là :

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Applets]

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"View"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,00,83,ff,ff,00,83,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,36,00,00,00,20,00,00,00,7b,05,00,00,5a,03,00,00,ad,01,00,\
00,c7,01,00,00,37,00,00,00,d2,02,00,00,01,00,00,00
"FindFlags"=dword:0000000e
"LastKey"="Ordinateur\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\explorer\\ShellIconOverlayIdentifiers"

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\Favorites]

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray]
"Services"=dword:0000001f
"HotPlugFlags"=dword:00000002
0
Réponse 17 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
27 oct. 2010 à 21:26
Re,

non, je pense que ces 2 clés sont la conséquence des recherches que je t'ai faire.

Tu as conservé l'exportation de la clé

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers

Place ce fichier sur ton Bureau.

===

Crée un nouveau compte.

Un fichier sur le Bureau du nouveau compte a le même problème ?
0
anekra
27 oct. 2010 à 22:01
J'ai activé le compte Invité. Les fichiers sur le Bureau n'ont pas ce problème.
0
Réponse 18 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
27 oct. 2010 à 22:05
Re,

je voudrai voir ce qui se passe pour un compte avec des droits d'administrateur.
0
anekra
27 oct. 2010 à 22:27
J'ai crée un nouveau compte administrateur. Les fichiers sur le Bureau n'ont aucun problème.

J'ai du mentionné dans la discussion avec archet9 que depuis l'élimination du rogue, la machine a planté plusieurs fois le chargement du compte utilisateur au démarrage, elle chargeait le compte par défaut...
0
Réponse 19 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
27 oct. 2010 à 22:35
Re,

la bonne nouvelle, c'est que seul le compte Propriétaire pose problème.

La mauvaise, c'est que le mécanisme ne passe pas par une clé HKLM.
0
anekra
27 oct. 2010 à 23:17
J'apprécie les deux ;-)
En fait, tu m'as demandé de déposer l'exportation du registre sur le bureau - il n'y avait pas de manip particulière à faire avec ?
Je suis allé inspecter les fichiers ini, façon windows 3.1. Aucun ne date de l'apparition du rogue. J'ai ouvert les plus récents, n'ai rien vu de suspect dedans. Ils concernent surtout Mozilla.
Quand Antimalware Doctor est apparu, je l'ai bien vu ajouter ces sigles sur les icônes des fichiers sur le bureau, un par un. Et en même temps les "messages d'alerte" apparaissaient sur l'écran. Mais je ne sais pas quelle conclusion il faut en tirer quant aux moyens de restaurer le bureau.
0
Réponse 20 / 24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
28 oct. 2010 à 00:41
Re,

mon idée était de modifier cette clé (et donc d'avoir une sauvegarde) mais c'est inutile.

Est ce que il y a encore des traces de ces clés :


HKEY_CURRENT_USER/Software/Antimalware Doctor In/cAntimalware Doctor

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/UninstallAntimalware Doctor
0
anekra
28 oct. 2010 à 01:00
Ni l'une ni l'autre. La seule trace d'Antimalware est celle-ci :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Spynet]
"SpyNetReporting"=dword:00000001
"SpyNetReportingLocation"=hex(7):68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,\
00,73,00,70,00,79,00,6e,00,65,00,74,00,32,00,2e,00,6d,00,69,00,63,00,72,00,\
6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,00,2f,00,41,00,6e,00,74,\
00,69,00,4d,00,61,00,6c,00,77,00,61,00,72,00,65,00,53,00,65,00,72,00,76,00,\
69,00,63,00,65,00,73,00,2f,00,32,00,2f,00,53,00,70,00,79,00,6e,00,65,00,74,\
00,52,00,65,00,70,00,6f,00,72,00,74,00,53,00,72,00,76,00,63,00,2e,00,61,00,\
73,00,6d,00,78,00,00,00,00,00

L'adresse du renvoi est https://spynet2.microsoft.com/AntiMalwareServices/2/SpynetReportSrvc.asmx
0

Discussions similaires

ORA-00904: identificateur non valide
gamp -
X-DBA -

2 réponses
Réseau non identifié limité
Syl-2085 -
kiiwan -

20 réponses
Réseau non identifié : pas d'accès internet.
Maxdriver -
Ricou -

85 réponses
CPL (Ethernet): "Réseau non identifié, pas d'accès réseau"
MrTraan -
MrTraan -

9 réponses
Réseau non identifié avec windows 7 ?
Utilisateur anonyme -
Christelle -

26 réponses