Rapport RSIT pour rootkit w32 tdss svpFermé

Question

Bonjour, j'ai besoin de votre aide. Processus kbiwkm*****.exe multiple et présence de kbiwkw*****.sys et .dat et . dll dans C/windows/system32 trouvés par antivir en fichiers cachés mais impossibles à voir même avec options des dossiers "afficher les fichiers cachés". j'ai réussi à supprimer le kbiwkm***** qui était présent dans C/windows/temp en redémarrant en mode sans échec.
Je réussis à utiliser le pc car je l'ai neutralisé au démarrage avec un taskkill*****.bat, que j'ai laissé après l'élimination du fichier qui était dans "temp" ne sachant pas c'était suffisant pour que le processus ne démarre plus, sinon uc à fond et tout et tout, système ingérable. Malgré tout j'aimerais l'éliminer plutôt que de le neutraliser uniquement.
Je vous poste les rapports RSIT, en revanche ils ont été scanné en mode normal et non "sans échec", merci de me dire si je dois le refaire.

Logfile of random's system information tool 1.06 (written by random/random)
Run by Steeve at 2009-09-06 14:17:34
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 19 GB (38%) free of 50 GB
Total RAM: 2047 MB (72% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:17:37, on 06/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\ehome\RMSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~3apimgr.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\ehome\RMSysTry.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Steeve\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Steeve.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer optimisé pour MSN
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO Barre de Confiance CM-CIC - {988B07F5-7392-455A-8A1F-64935CB8B6ED} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: dem.bat.txt
O4 - Global Startup: Moniteur de ressources Extender.lnk = C:\WINDOWS\ehome\RMSysTry.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://www.gamenext.fr/online/online2/insaniquarium/oberongamesloader.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{18681003-3592-47F6-89F4-388C4550A0EC}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F61B3A0-8CD1-4C4D-834A-FD329D625221}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B184D453-F41B-4A0E-8B52-ACD5CC99B1FB}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:  
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service Google Update (gupdate1c9d239d65a85ba) (gupdate1c9d239d65a85ba) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

Narco!4 · Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

Destrio5 · Answer

Bon après-midi ;)

stv · Answer

Voilà :

Rapport GenProc 2.623 [1] - 06/09/2009 à 14:30:53 
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.0.13) [Navigateur par défaut]

~~ CM DISK ERROR ~~ 
 
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

# Etape 1/ Télécharge :
 
- Navilog1 http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe (IL-MAFIOSO) sur ton Bureau.

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Steeve *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/ 

Double clique sur le raccourci Navilog1 sur le Bureau, et choisis l'option 1 ; valide et patiente jusqu'au message "Scan terminé le......".

# Etape 3/ 

 Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 4/ 

 Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 5/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 6/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport cleannavi.txt situé dans C:\ ; 
- Le contenu du rapport TB.txt situé dans C:\ ; 
- Le contenu du rapport Combofix.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis http://ww1.genproc.com/GenProc-HijackThis ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.623 06/09/2009 à 14:31:31 
Navipromo:le 06/09/2009 à 14:32:08 "C:\Documents and Settings\Steeve\Application Data\Games-Attack" 
Toolbar:le 06/09/2009 à 14:32:08 "C:\Program Files\GamesBar" 
TDSS:le 06/09/2009 à 14:32:18 PFROP kbiwkm* 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 14:32:55 ~~ 


ComboFix 09-09-05.03 - Steeve 06/09/2009 14:40.1.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2047.1515 [GMT 2:00]
Running from: c:\documents and settings\Steeve\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
The following files were disabled during the run:
c:\program files\SuperCopier2\SC2Hook.dll


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Steeve\Mes documents\cc_20081101_014448.reg
c:\documents and settings\Steeve
ew.txt
c:\windows\cdmxtras
c:\windows\cdmxtras\uninst.exe
c:\windows\kb913800.exe
c:\windows\system32\drivers\kbiwkmtabdujoe.sys
c:\windows\system32\drivers\Sonyhcp.dll
c:\windows\system32\drivers\UACfhmxuievab.sys
c:\windows\system32\Ijl11.dll
c:\windows\system32\kbiwkmepkktqlr.dat
c:\windows\system32\kbiwkmhvtjxfqh.dll
c:\windows\system32\kbiwkmmyqmkprp.dll
c:\windows\system32\kbiwkmsxhnskll.dat

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_kbiwkmflnsruml
-------\Legacy_kbiwkmflnsruml
-------\Service_UACd.sys
-------\Legacy_UACd.sys
-------\Legacy_BOONTY_GAMES
-------\Legacy_NWCWORKSTATION
-------\Service_Boonty Games
-------\Service_NWCWorkstation


(((((((((((((((((((((((((   Files Created from 2009-08-06 to 2009-09-06  )))))))))))))))))))))))))))))))
.

2009-09-06 12:30 . 2009-09-06 12:30	--------	d-----w-	C:\GenProc
2009-09-06 11:49 . 2009-09-06 11:49	--------	d-----w-	C:sit
2009-09-03 18:10 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-09-03 18:10 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-09-03 18:10 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-09-03 18:10 . 2009-09-03 18:10	--------	d-----w-	c:\program files\Avira
2009-09-03 18:10 . 2009-09-03 18:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2009-09-03 17:46 . 2009-09-03 16:23	15688	----a-w-	c:\windows\system32\lsdelete.exe
2009-09-03 17:02 . 2009-09-03 17:02	--------	d-----w-	c:\documents and settings\LocalService\Bureau
2009-09-03 16:23 . 2009-09-03 16:23	64160	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-09-03 16:21 . 2009-09-03 16:21	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-08-26 09:51 . 2009-08-26 09:51	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Media Player Classic
2009-08-26 09:50 . 2009-08-26 09:50	--------	d-----w-	c:\program files\Real Alternative
2009-08-26 09:50 . 2009-08-26 09:50	--------	d-----w-	c:\documents and settings\Steeve\Local Settings\Application Data\Real
2009-08-26 09:49 . 2009-08-26 09:49	--------	d-----w-	c:\program files\Matroska Pack
2009-08-18 10:44 . 2009-08-18 10:44	--------	d-----w-	c:\program files\ToniArts
2009-08-18 09:52 . 2009-08-18 09:52	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Auslogics
2009-08-18 09:52 . 2009-08-18 09:52	--------	d-----w-	c:\program files\Auslogics
2009-08-18 09:19 . 2009-08-18 09:19	25992	----a-w-	c:\windows\system32\pgdfgsvc.exe
2009-08-18 09:03 . 2009-09-03 18:12	--------	d-----w-	c:\documents and settings\All Users\Bureau
2009-08-11 20:34 . 2009-07-10 13:27	1315328	-c----w-	c:\windows\system32\dllcache\msoe.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-06 12:38 . 2007-11-28 14:47	--------	d-----w-	c:\program files\SuperCopier2
2009-09-06 11:46 . 2006-12-30 19:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-06 10:36 . 2008-10-05 10:15	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-05 15:10 . 2007-07-29 22:18	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-09-04 22:29 . 2008-08-23 11:05	--------	d-----w-	c:\documents and settings\Steeve\Application Data\uTorrent
2009-09-04 18:20 . 2009-07-19 11:59	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-09-03 16:21 . 2006-12-16 09:10	--------	d-----w-	c:\program files\Lavasoft
2009-09-03 16:10 . 2006-12-30 19:49	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-09-03 09:28 . 2006-12-23 00:57	--------	d-----w-	c:\documents and settings\Steeve\Application Data\PlayFirst
2009-09-03 09:28 . 2007-08-15 21:34	--------	d-----w-	c:\program files\Google
2009-09-03 09:28 . 2006-12-19 17:42	--------	d-----w-	c:\program files\Zylom Games
2009-09-03 08:33 . 2007-06-27 11:38	--------	d-----w-	c:\program files\Java
2009-09-02 08:33 . 2006-12-14 19:58	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Skype
2009-09-01 17:46 . 2004-08-10 12:00	85644	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-01 17:46 . 2004-08-10 12:00	513498	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-23 18:12 . 2007-10-05 12:37	--------	d-----w-	c:\documents and settings\All Users\Application Data\HipSoft
2009-08-23 17:51 . 2007-09-19 21:22	--------	d-----w-	c:\program files\GamesBar
2009-08-23 17:51 . 2008-10-03 14:52	--------	d-----w-	c:\program files\Oberon Media
2009-08-19 20:44 . 2006-12-13 18:38	1324	----a-w-	c:\windows\system32\d3d9caps.dat
2009-08-18 10:44 . 2006-12-13 19:15	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-08-18 09:38 . 2008-12-05 23:24	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Desperate Housewives
2009-08-18 09:07 . 2009-04-21 21:47	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Azureus
2009-08-18 09:06 . 2008-10-05 14:46	--------	d-----w-	c:\program files\CCleaner
2009-08-18 08:40 . 2009-03-06 17:36	--------	d-----w-	c:\program files\NoClone
2009-08-18 08:38 . 2009-01-09 16:46	--------	d-----w-	c:\program files\Sony
2009-08-18 08:38 . 2009-01-09 17:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Sony
2009-08-18 08:37 . 2007-01-04 15:17	--------	d-----w-	c:\documents and settings\Steeve\Application Data\BSplayer
2009-08-11 18:44 . 2006-12-13 18:32	51384	-c--a-w-	c:\documents and settings\Steeve\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-05 09:00 . 2004-08-10 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-08-03 11:36 . 2008-10-05 10:15	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2008-10-05 10:15	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-30 17:41 . 2006-12-23 00:57	--------	d-----w-	c:\documents and settings\All Users\Application Data\PlayFirst
2009-07-30 17:41 . 2006-12-23 00:57	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Zylom
2009-07-25 03:23 . 2009-01-01 12:26	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-23 18:24 . 2009-07-23 18:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\FarmFrenzy-PizzaParty
2009-07-21 18:52 . 2009-07-21 18:51	--------	d-----w-	c:\program files\Games-Attack
2009-07-21 18:51 . 2009-07-21 18:51	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Games-Attack
2009-07-21 18:51 . 2009-07-21 18:51	--------	d-----w-	c:\documents and settings\All Users\Application Data\Games-Attack
2009-07-21 12:19 . 2008-11-07 16:18	--------	d-----w-	c:\program files\La maison du péril
2009-07-21 11:52 . 2008-10-29 13:40	--------	d-----w-	c:\documents and settings\Steeve\Application Data\BloodTies
2009-07-21 11:52 . 2007-09-07 21:18	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Big Fish Games
2009-07-20 13:16 . 2009-07-20 13:16	--------	d-----w-	c:\documents and settings\Steeve\Application Data\Gogii Games
2009-07-20 13:16 . 2009-07-20 13:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Gogii Games
2009-07-17 19:03 . 2004-08-10 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-10 12:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-12 19:28 . 2007-07-29 22:17	--------	d-----w-	c:\program files\Gamenext
2009-07-12 14:29 . 2009-07-12 14:29	--------	d-----w-	c:\documents and settings\All Users\Application Data\AdventureChronicles1
2009-07-03 16:57 . 2004-08-10 12:00	915456	----a-w-	c:\windows\system32\wininet.dll
2009-06-25 08:26 . 2004-08-10 12:00	736768	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2004-08-10 12:00	56832	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:26 . 2004-08-10 12:00	54272	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 2004-08-10 12:00	147456	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:26 . 2004-08-10 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-25 08:26 . 2004-08-10 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2004-08-10 12:00	92928	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:40 . 2004-08-10 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 2004-08-10 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-15 10:44 . 2004-08-10 12:00	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-15 10:44 . 2004-08-10 12:00	82944	----a-w-	c:\windows\system32	lntsess.exe
2009-06-10 14:14 . 2004-08-10 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2006-12-13 18:17	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2004-08-10 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2008-04-14 22:51 . 2008-04-14 22:51	0	-c--a-w-	c:\program files	emp01
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-03 520024]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-14 16270848]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
dem.bat.txt [2009-9-6 27]
Moniteur de ressources Extender.lnk - c:\windows\ehome\RMSysTry.exe [2005-10-20 18432]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0\0lsdelete

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Boonty Games"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\program files\Microsoft ActiveSyncapimgr.exe"= c:\program files\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\system32\drivers\svchost.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3776:UDP"= 3776:UDP:Service de Media Center Extender
"3390:TCP"= 3390:TCP:Services Media Center à distance
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [03/09/2009 18:23 64160]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/09/2009 20:10 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
S2 gupdate1c9d239d65a85ba;Service Google Update (gupdate1c9d239d65a85ba);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S2 lwngnxhjy;lwngnxhjy;\??\c:\windows\system32\drivers\kkmahpjmnhi.sys --> c:\windows\system32\drivers\kkmahpjmnhi.sys [?]
S2 OMSCAN;OMSCAN;\Syst --> \Syst [?]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/12/2008 17:54 195752]
S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\drivers\WlanUZXP.sys [10/06/2008 21:13 260608]
S3 STVgmn;Creative WebCam Go Mini;c:\windows\system32\drivers\stvgmn.sys [16/11/2008 20:50 105576]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]

--- Other Services/Drivers In Memory ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
QWAVE	REG_MULTI_SZ   	QWAVE

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-09-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 16:23]

2009-08-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {18681003-3592-47F6-89F4-388C4550A0EC} = 192.168.1.1
TCP: {5F61B3A0-8CD1-4C4D-834A-FD329D625221} = 192.168.1.1
TCP: {B184D453-F41B-4A0E-8B52-ACD5CC99B1FB} = 192.168.1.1
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {E1342154-4889-42B5-BEF6-19237577048F} - hxxp://www.gamenext.fr/online/online2/insaniquarium/oberongamesloader.cab
FF - ProfilePath - c:\documents and settings\Steeve\Application Data\Mozilla\Firefox\Profiles\15b4u05o.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:\documents and settings\Steeve\Application Data\Mozilla\Firefox\Profiles\15b4u05o.default\extensions\OberonGameHost@OberonGames.com\platform\WINNT_x86-msvc\plugins
pOberonGameHost.dll
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-06 14:47
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\Steeve\LOCALS~1\Temp\mc24.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-746137067-1220945662-839522115-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]
"Name"="ActiveSync"
"DisplayName"="Microsoft ActiveSync"
"Param1"="ActiveSync"
"Type"="wellknown"
"Order"=dword:00000001
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-746137067-1220945662-839522115-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]
"Name"="IESettings"
"Type"="IESettings"
"Order"=dword:00000004
"State"=dword:00000003

[HKEY_USERS\S-1-5-21-746137067-1220945662-839522115-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]
"Name"="MediaFiles"
"Type"="MediaFiles"
"Order"=dword:00000003
"State"=dword:00000003

[HKEY_USERS\S-1-5-21-746137067-1220945662-839522115-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]
"Name"="NPW"
"Param1"="NPW"
"Type"="wellknown"
"Order"=dword:00000002
"State"=dword:00000003

[HKEY_USERS\S-1-5-21-746137067-1220945662-839522115-1003\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]
"Name"="Outlook"
"DisplayName"="Microsoft Outlook"
"Param1"="Outlook"
"Type"="wellknown"
"Order"=dword:00000000
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-746137067-1220945662-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:a7,5c,23,ee,9a,45,ce,cd,52,d3,57,59,ba,79,c1,18,88,46,66,07,d6,
   6e,15,d3,4b,4a,87,11,30,3e,0a,86,44,a9,fe,e2,06,20,3c,67,3b,72,ef,f2,b8,51,\
"rkeysecu"=hex:b8,07,d5,ab,1e,d1,c2,46,63,01,78,91,7d,01,cc,d8

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:2e,e8,e1,00,eb,16,2b,de,e0,b6,b3,42,66,
   7a,89,35,e2,63,26,f1,3f,c8,ff,68,e6,4c,20,5b,32,84,10,8b,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,a1,8e,0b,6b,bf,
   c9,85,3f,6a,9c,d6,61,af,45,84,18,7a,26,96,e1,03,06,3b,f1,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,52,54,e6,d9,ca,
   d5,83,89,ff,7c,85,e0,43,d4,0e,fe,2d,9f,b8,0f,04,6d,d9,59,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,47,b7,7d,79,7b,
   b6,ba,5f,86,8c,21,01,be,91,eb,e7,59,54,1c,27,9a,27,ae,41,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,d4,0d,03,ee,12,
   b5,f2,73,f5,1d,4d,73,a8,13,5c,05,35,10,92,d9,93,85,34,1c,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,12,96,ab,39,1c,
   07,58,a0,df,20,58,62,78,6b,cf,c8,9e,8f,7b,87,87,d0,a5,70,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,98,20,2b,5c,1c,
   84,ca,26,fb,a7,78,e6,12,2f,9a,ea,30,ea,81,94,37,7b,ab,8d,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,97,95,56,68,3c,
   05,6a,22,01,3a,48,fc,e8,04,4a,f1,3d,31,7f,06,26,5c,60,cf,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,44,ca,bd,2c,7c,
   ec,d0,f0,f6,0f,4e,58,98,5b,89,c9,a4,9f,bd,92,bb,b7,c4,64,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:37,a4,aa,c3,a6,15,56,0a,09,5b,9d,68,30,
   73,3f,d6,3d,ce,ea,26,2d,45,aa,78,6d,5e,5e,f2,5e,ce,85,69,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,d4,fd,ea,28,33,
   33,1c,43,2a,b7,cc,b5,b9,7f,41,e7,82,aa,6d,12,93,36,bc,34,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\WINDOWS\system32\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,93,e2,20,5a,ae,
   85,39,39,6c,43,2d,1e,aa,22,2f,9c,60,dd,8a,d8,26,45,f1,65,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1132)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3796)
c:\program files\SuperCopier2\SC2Hook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Haali\MatroskaSplitter\mmfinfo.dll
c:\program files\Haali\MatroskaSplitter\mkunicode.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\ehome\RMSvc.exe
c:\windows\ehome\McrdSvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Microsoft ActiveSyncapimgr.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Completion time: 2009-09-06 14:51 - machine was rebooted
ComboFix-quarantined-files.txt  2009-09-06 12:51

Pre-Run: 19 736 457 216 octets libres
Post-Run: 19 609 890 816 octets libres

368	--- E O F ---	2009-09-01 22:35

Narco!4 · Answer

- Le contenu du rapport cleannavi.txt situé dans C:\ ;
- Le contenu du rapport TB.txt situé dans C:\ ; 
- nouveau genproc;

stv · Answer

ok pardon ;)

stv · Answer

Voilà : 

Fix Navipromo version 4.0.2 commencé le 06/09/2009 19:49:19.71

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3800+ )
BIOS : BIOS Date: 08/22/06 23:14:48 Ver: 08.00.12
USER : Steeve ( Administrator )
BOOT : Fail-safe boot

Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:18 Go)
D:\ (Local Disk) - NTFS - Total:184 Go (Free:62 Go)
I:\ (CD or DVD)


Recherche executée en mode sans échec

Nettoyage executé en mode sans échec


C:\Program Files\Games-Attack supprimé ! 
C:\Documents and Settings\All Users\menudm~1\progra~1\Games-Attack supprimé ! 
c:\docume~1\alluse~1\applic~1\Games-Attack supprimé ! 
C:\Documents and Settings\Steeve\applic~1\Games-Attack supprimé ! 


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Steeve\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok





*** Scan terminé 06/09/2009 19:51:25.35 ***





   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3800+ )
   BIOS : BIOS Date: 08/22/06 23:14:48 Ver: 08.00.12
   USER : Steeve ( Administrator )
   BOOT : Fail-safe boot
   Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:18 Go)
   D:\ (Local Disk) - NTFS - Total:184 Go (Free:62 Go)
   I:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 06/09/2009|19:53 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\GamesBar\Localization-French.ini
   Supprime! - C:\Program Files\GamesBar\Localization2-French.ini
   Supprime! - C:\Program Files\GamesBar

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Steeve) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\WINDOWS\system32\blank.htm"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/"
   "Local Page"="C:\WINDOWS\system32\blank.htm"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Steeve\Application Data\uTorrent\45 jeux zylom + cracks.rar.torrent
   C:\DOCUME~1\Steeve\Application Data\uTorrent\Sony Vegas 8 pro+ Crack.torrent
   C:\DOCUME~1\Steeve\Bureau\sophie\stv\DOCUMENTS\Logiciels\WinRar 3.70 fr VISTA + Crack FR
   C:\DOCUME~1\Steeve\Bureau\sophie\stv\DOCUMENTS\Logiciels\WinRar 3.70 fr VISTA + Crack FR\keygenpatch.exe
   C:\DOCUME~1\Steeve\Bureau\sophie\stv\DOCUMENTS\Logiciels\WinRar 3.70 fr VISTA + Crack FR\WinRAR fr Patch.exe
   C:\DOCUME~1\Steeve\Bureau\sophie\stv\DOCUMENTS\Logiciels\WinRar 3.70 fr VISTA + Crack FR\wrar37b6.exe
   C:\DOCUME~1\Steeve\Bureau\sophie\stv\Tomtom Navigator 7\Tomtom navigator V_7\Tomtom navigator V_7\activation	t7_keygen.exe
   C:\DOCUME~1\Steeve\Bureau	orr\Sony Vegas 8 pro+ Crack[www.torrent411.com].torrent



   1 - "C:\ToolBar SD\TB_1.txt" - 06/09/2009|19:55 - Option : [2]

   -----------\  Fin du rapport a 19:55:32.40

Rapport GenProc 2.623 [2] - 06/09/2009 à 19:56:22 
@ Windows XP Service Pack 3 - Mode sans echec
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
~~ ECHEC DU TELECHARGEMENT DE CM ~~  
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~  
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~  
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt


# Etape 3/
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
C:\Program Files\EsetOnlineScanner\log.txt

 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 19:56:35 ~~

stv · Answer

Dois-e supprimer le .bat de démarrage que j'ai crée pour neutraliser le kbi******.exe, voir s'il y est encore ?

Narco!4 · Answer

ton . bat comme tu dit ne neutralise rien et surtout pas ce genre d'infections
supprime le donc

# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt


# Etape 3/
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
C:\Program Files\EsetOnlineScanner\log.txt

stv · Answer

Avec toolscleaner la suppression s'est bien déroulée après le scan, mais en quittant il ne m'a pas généré de rapport...

Pour nod32 en ligne voici le message  :

Internet Explorer a fermé cette page Web pour protéger l’ordinateur 
 
   En raison d’un module complémentaire malveillant ou présentant un dysfonctionnement, Internet Explorer a dû fermer cette page Web. 
   Effectuez l’une des opérations suivantes : 
     Atteindre la page de démarrage 
 
     Essayez de revenir à eset-nod32.fr 
 
     Informations 

La prévention de l’exécution des données Windows a détecté qu’un module complémentaire essaie d’utiliser la mémoire système de manière incorrecte. Il peut s’agir d’un dysfonctionnement ou d’une malveillance.

Autres opérations possibles :

Aller sur Internet pour en savoir plus sur la fonction de prévention d’exécution des données

Je n'ai donc pas pu scanner...

Aie ! c'est grave docteur ?

stv · Answer

Mille pardons !! j'ai trouvé le rapport tcleaner, désolé le voici :

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\VundoFix.txt: trouvé !
C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\lopR.txt: trouvé !
C:\TB.txt: trouvé !
C:\Lop SD: trouvé !
C:\Vundofix backups: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Steeve\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Steeve\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Steeve\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Steeve\Bureau\cleannavi.txt: trouvé !
C:\Documents and Settings\Steeve\Bureau\TB.txt: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\LopSD.exe: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Gmer.zip: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Navilog1.exe: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Navilog1.lnk: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\HijackThis.exe: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\hijackthis.log: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Rsit.exe: trouvé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\gmer\Gmer.exe: trouvé !
C:\GenProc\Genproc.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Lop SD\catchme.exe: trouvé !
C:\Lop SD\catchme.log: trouvé !
C:\Program Files\HijackThis: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Navilog1\catchme.exe: trouvé !
C:\Program Files\Navilog1\Report\catchme.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\Gmer.exe: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Steeve\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Steeve\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Steeve\Bureau\ToolBarSD.exe: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\LopSD.exe: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Gmer.zip: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Navilog1.exe: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Navilog1.lnk: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\HijackThis.exe: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\gmer\Gmer.exe: supprimé !
C:\Lop SD\catchme.exe: supprimé !
C:\Program Files\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Navilog1\catchme.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\WINDOWS\Gmer.exe: supprimé !
C:\VundoFix.txt: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\lopR.txt: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\Steeve\Bureau\cleannavi.txt: supprimé !
C:\Documents and Settings\Steeve\Bureau\TB.txt: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\hijackthis.log: supprimé !
C:\Documents and Settings\Steeve\Bureau\Logiciels sécurité\Rsit.exe: supprimé !
C:\GenProc\Genproc.exe: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Lop SD\catchme.log: supprimé !
C:\Program Files\Navilog1\Report\catchme.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\Lop SD: supprimé !
C:\Vundofix backups: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\HijackThis: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !


En revanche nod32 toujours galère, marche pas...

stv · Answer

IE plante lorsque je veux installer le module complémentaire "onlinescanner.cab", il mouline puis plante, j'ai même eu un message d'erreur : "drwtsn32 a cessé de fonctionner"...

Narco!4 · Answer

poste ce rapport

stv · Answer

ESETSmartInstaller@High as downloader log:
all ok
# version=6
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=ba926e8e7ae62c4fb471dd8e7d57a0ca
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-09-07 12:45:26
# local_time=2009-09-07 02:45:26 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 37 100 100 668115937500
# scanned=143679
# found=11
# cleaned=11
# scan_time=5173
C:\Documents and Settings\Steeve\Bureau\htc\M-Amine_2.0_FRA_FINAL.zip	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
C:\Documents and Settings\Steeve\Bureau\NOD32 2008 Final 2.1\NOD32 2008 Final 2.1.iso	menaces multiples (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
C:\Program Files\Death On The Nile\DeathOnTheNile.exe	une variante de Win32/ReflexiveArcade application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Program Files\Ranch Rush\RanchRush.exe	une variante de Win32/ReflexiveArcade application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{29A9C938-F93B-400D-9270-D4E950F4D1A9}\RP1\A0000185.exe	Win32/PrcView application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{29A9C938-F93B-400D-9270-D4E950F4D1A9}\RP1\A0000296.exe	Win32/PrcView application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{29A9C938-F93B-400D-9270-D4E950F4D1A9}\RP1\A0000334.exe	une variante de Win32/ReflexiveArcade application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\System Volume Information\_restore{29A9C938-F93B-400D-9270-D4E950F4D1A9}\RP1\A0000335.exe	une variante de Win32/ReflexiveArcade application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
D:\fini à classer\NOD32 2008 Final 2.1\NOD32 2008 Final 2.1.iso	menaces multiples (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\fini à classer\Windows.XP.Pro.Corporate.SP2.Optimise.V4.5.Finale.MkEx64\Windows.XP.Pro.Corporate.SP2.Optimise.V4.5.Finale.MkEx64.ISO	Win32/CMDOW.143 application (supprimé - mis en quarantaine)	00000000000000000000000000000000	C
D:\logiciels\MSNFix\MSNFix\incl\Process.exe	Win32/PrcView application (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C

Rapport RSIT pour rootkit w32 tdss svp

13 réponses

Discussions similaires

Newsletters