Execution de ctv*.exe et de iexplore + fenetr
Résolu/Fermé
A voir également:
- Execution de ctv*.exe et de iexplore + fenetr
- Svchost exe - Guide
- .Exe - Télécharger - Divers Utilitaires
- Bat to exe converter - Télécharger - Édition & Programmation
- Winrar exe - Télécharger - Compression & Décompression
- Erreur d'execution 1004 - Forum Programmation
66 réponses
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
13 oct. 2009 à 21:58
13 oct. 2009 à 21:58
Salut,
plusieurs infections ...
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
Anti malware bytes (qui a trouvé des choses)
> poste moi le rapport que tu as obtenu stp (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) .
Puis commence par ceci dans l'ordre :
1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).
ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html
En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...
Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !
Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .
=============================
2- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Installe le soft sur ton bureau ( et pas ailleurs! ) .
!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!
Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
plusieurs infections ...
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
Anti malware bytes (qui a trouvé des choses)
> poste moi le rapport que tu as obtenu stp (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) .
Puis commence par ceci dans l'ordre :
1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).
ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html
En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...
Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !
Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .
=============================
2- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Installe le soft sur ton bureau ( et pas ailleurs! ) .
!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!
Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
Merci d'avance:
Voici le rapport:
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2955
Windows 5.1.2600 Service Pack 3
13/10/2009 20:18:58
mbam-log-2009-10-13 (20-18-46).txt
Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 195809
Temps écoulé: 1 hour(s), 1 minute(s), 41 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tdisp.sys (Rootkit.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwimyu (Trojan.Backdoor) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Backdoor) -> Data: c:\documents and settings\famille galley\pfqorak.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Famille Galley\pfqorak.exe \s) Good: (Userinit.exe) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\system32\dwimyu.exe (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1026.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1952.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv2875.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv3802.exe (Trojan.Dropper) -> No action taken.
C:\Program Files\Adobe\acrotray.exe (Trojan.Agent) -> No action taken.
Voici le rapport:
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2955
Windows 5.1.2600 Service Pack 3
13/10/2009 20:18:58
mbam-log-2009-10-13 (20-18-46).txt
Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 195809
Temps écoulé: 1 hour(s), 1 minute(s), 41 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tdisp.sys (Rootkit.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwimyu (Trojan.Backdoor) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Backdoor) -> Data: c:\documents and settings\famille galley\pfqorak.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Famille Galley\pfqorak.exe \s) Good: (Userinit.exe) -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\system32\dwimyu.exe (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1026.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1952.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv2875.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv3802.exe (Trojan.Dropper) -> No action taken.
C:\Program Files\Adobe\acrotray.exe (Trojan.Agent) -> No action taken.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
13 oct. 2009 à 22:25
13 oct. 2009 à 22:25
Bien ....
fais la suite stp ....
fais la suite stp ....
Désolé pas vu la fin du message:
Voici le rapport:
SmitFraudFix v2.424
Rapport fait à 22:39:36,87, 13/10/2009
Executé à partir de C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Apps\NetDrive\netdrive.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\Apps\NetDrive\wdService.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\shstat.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv4751.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CS2\Services\Tcpip\..\{395C64AD-8351-4B66-969D-EDE97E3F144F}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Voici le rapport:
SmitFraudFix v2.424
Rapport fait à 22:39:36,87, 13/10/2009
Executé à partir de C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Apps\NetDrive\netdrive.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\Apps\NetDrive\wdService.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\shstat.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv4751.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CS2\Services\Tcpip\..\{395C64AD-8351-4B66-969D-EDE97E3F144F}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 oct. 2009 à 08:07
14 oct. 2009 à 08:07
Salut;
fais ce qui suit dans l'ordre :
1- Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Famille Galley\pfqorak.exe"=-
:Files
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
=======================
2- Tu vas ré-utiliser Malwarebytes ainsi :
mets le à jour ( onglet "mise à jour" ) .
! Déconnecte toi et ferme toutes applications en cours !
* Lance 'Malwarebytes' .
Fais un examen dit "RAPIDE" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
=================
3- refais un scan RSIT , poste le nouveau "log.txt" obtenu pour analyse et attends la suite ....
fais ce qui suit dans l'ordre :
1- Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Famille Galley\pfqorak.exe"=-
:Files
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
=======================
2- Tu vas ré-utiliser Malwarebytes ainsi :
mets le à jour ( onglet "mise à jour" ) .
! Déconnecte toi et ferme toutes applications en cours !
* Lance 'Malwarebytes' .
Fais un examen dit "RAPIDE" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
=================
3- refais un scan RSIT , poste le nouveau "log.txt" obtenu pour analyse et attends la suite ....
Salut,
Je fais tout ça ce soir et te le poste. Juste pour ce qui est des taches programmées, c'était une trace car quand je les ai vues, je les ai virées (avant de poster ici, maintenant promis je touche plus à rien ;=))
Je fais tout ça ce soir et te le poste. Juste pour ce qui est des taches programmées, c'était une trace car quand je les ai vues, je les ai virées (avant de poster ici, maintenant promis je touche plus à rien ;=))
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 oct. 2009 à 09:01
14 oct. 2009 à 09:01
re,
car quand je les ai vues, je les ai virées
oki .... mais fait tout de même le manipe avec OTM et le reste .... à ce soir avec les rapports demandés ....
car quand je les ai vues, je les ai virées
oki .... mais fait tout de même le manipe avec OTM et le reste .... à ce soir avec les rapports demandés ....
Voici les rapports dans l'ordre:
OTM:
All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Documents and Settings\Famille Galley\pfqorak.exe deleted successfully.
========== FILES ==========
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Famille Galley
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, scheduled to be deleted on reboot.
->Temp folder emptied: 7986386 bytes
->Temporary Internet Files folder emptied: 4243085 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44961039 bytes
User: LocalService
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 3596610 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 1025900 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 1381944 bytes
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 1139202 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 125482046 bytes
RecycleBin emptied: 8448 bytes
Total Files Cleaned = 181,10 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10142009_185658
Files moved on Reboot...
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, not found!
Registry entries deleted on Reboot...
Malwarebytes n'a rien trouvé
Enfin RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Famille Galley at 2009-10-14 19:22:52
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 16 GB (52%) free of 30 GB
Total RAM: 1535 MB (43% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:05, on 14/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\NetDrive\wdService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Apps\NetDrive\netdrive.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv1136.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Sources programmes\telechargements\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Famille Galley.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Ript - {91D9091B-2046-42f7-903E-1215A29E21EA} - C:\Apps\Ript\mscoree.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WebDriveTray] C:\Apps\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\WINDOWS\TEMP\E_S84.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers Printkey2000.lnk = C:\Apps\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.bellapix.com/XUpload.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Apps\NetDrive\wdService.exe
OTM:
All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Documents and Settings\Famille Galley\pfqorak.exe deleted successfully.
========== FILES ==========
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Famille Galley
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, scheduled to be deleted on reboot.
->Temp folder emptied: 7986386 bytes
->Temporary Internet Files folder emptied: 4243085 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44961039 bytes
User: LocalService
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 3596610 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 1025900 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 1381944 bytes
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 1139202 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 125482046 bytes
RecycleBin emptied: 8448 bytes
Total Files Cleaned = 181,10 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10142009_185658
Files moved on Reboot...
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, not found!
Registry entries deleted on Reboot...
Malwarebytes n'a rien trouvé
Enfin RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Famille Galley at 2009-10-14 19:22:52
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 16 GB (52%) free of 30 GB
Total RAM: 1535 MB (43% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:05, on 14/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\NetDrive\wdService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Apps\NetDrive\netdrive.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv1136.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Sources programmes\telechargements\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Famille Galley.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Ript - {91D9091B-2046-42f7-903E-1215A29E21EA} - C:\Apps\Ript\mscoree.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WebDriveTray] C:\Apps\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\WINDOWS\TEMP\E_S84.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers Printkey2000.lnk = C:\Apps\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.bellapix.com/XUpload.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Apps\NetDrive\wdService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 oct. 2009 à 19:54
14 oct. 2009 à 19:54
Salut,
effectivement , c'est revenu .... le prb est ailleurs ...
on va faire quelques vérifes avant de poursuivre :
1- Avoir accès aux fichiers cachés :
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
2- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\e5n5krupcn8o.dll
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses
Fais de même pour :
C:\WINDOWS\EEventManager .INI
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\system32\nerocheck.exe59
Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
effectivement , c'est revenu .... le prb est ailleurs ...
on va faire quelques vérifes avant de poursuivre :
1- Avoir accès aux fichiers cachés :
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
2- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\e5n5krupcn8o.dll
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses
Fais de même pour :
C:\WINDOWS\EEventManager .INI
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\system32\nerocheck.exe59
Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
c:\windows\system32\e5n5krupcn8o.dll réinitialise la connexion avec le serveur(analyse impossible,ceic dit, il était associé à un exe que j'avais viré au début, j'aurais mieux fait de poster direct!).
eeventmanager (fichier vide, a priori lié à epson, mais il y en a 2 dont un avec un espace, mais dater a priori d'avant l'attaque):
0 bytes size received / Se ha recibido un archivo vacio
C:\WINDOWS\system32\psdrvcheck .exe:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Small.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a473352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQoW+
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e
( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
C:\WINDOWS\system32\kr_done1.exe (je l'avais renommé pendant un moment et en fait, pas sur que c'était un exe, oups)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 -
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 -
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 -
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 -
Fortinet 3.120.0.0 2009.10.14 -
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 -
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 -
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 -
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 10 bytes
MD5...: 45760e93886c401f64e7be658b41650c
SHA1..: c325a28d7c2b251fa6cef60f097f3dba04b4385f
SHA256: b930b5edc993134e3b42bdc6ee0fbde0e23a29264b241ed3d8199e7b8997f1a6
ssdeep: 3:OQ4:OQ4
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
C:\WINDOWS\system32\nerocheck.exe59
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Small.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a473352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQoW+
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e
( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
eeventmanager (fichier vide, a priori lié à epson, mais il y en a 2 dont un avec un espace, mais dater a priori d'avant l'attaque):
0 bytes size received / Se ha recibido un archivo vacio
C:\WINDOWS\system32\psdrvcheck .exe:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Small.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a473352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQoW+
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e
( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
C:\WINDOWS\system32\kr_done1.exe (je l'avais renommé pendant un moment et en fait, pas sur que c'était un exe, oups)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 -
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 -
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 -
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 -
Fortinet 3.120.0.0 2009.10.14 -
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 -
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 -
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 -
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 10 bytes
MD5...: 45760e93886c401f64e7be658b41650c
SHA1..: c325a28d7c2b251fa6cef60f097f3dba04b4385f
SHA256: b930b5edc993134e3b42bdc6ee0fbde0e23a29264b241ed3d8199e7b8997f1a6
ssdeep: 3:OQ4:OQ4
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
C:\WINDOWS\system32\nerocheck.exe59
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Small.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a473352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQoW+
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e
( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 oct. 2009 à 22:03
14 oct. 2009 à 22:03
Re,
la suite dans l'ordre :
1- Ré-utilise OTM :
Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\e5n5krupcn8o.dll
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
========================
2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------
Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix pour analyse ...
la suite dans l'ordre :
1- Ré-utilise OTM :
Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\e5n5krupcn8o.dll
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
========================
2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------
Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix pour analyse ...
Problème, OTM plante sur le move de e5n5rupcn80.dll. Plus de son plus d'image. J'ai été obligé de l'arrêté.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 oct. 2009 à 23:07
14 oct. 2009 à 23:07
recommence OTM mais avec ce script :
:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
:Commands
[purity]
[emptytemp]
[Reboot]
poste le rapport obtenu et fais la suite ( ComboFix ) ....
:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
:Commands
[purity]
[emptytemp]
[Reboot]
poste le rapport obtenu et fais la suite ( ComboFix ) ....
Voici déjà le log d'OTM:
All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\system32\nerocheck.exe59 not found.
C:\WINDOWS\system32\psdrvcheck.exe -checkreg moved successfully.
C:\WINDOWS\system32\psdrvcheck .exe moved successfully.
C:\WINDOWS\system32\kr_done1.exe moved successfully.
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Famille Galley
->Temp folder emptied: 616010 bytes
->Temporary Internet Files folder emptied: 26557917 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47582990 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 904 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be deleted on reboot.
Windows Temp folder emptied: 51287315 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 120,33 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10142009_231015
Files moved on Reboot...
File move failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\system32\nerocheck.exe59 not found.
C:\WINDOWS\system32\psdrvcheck.exe -checkreg moved successfully.
C:\WINDOWS\system32\psdrvcheck .exe moved successfully.
C:\WINDOWS\system32\kr_done1.exe moved successfully.
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Famille Galley
->Temp folder emptied: 616010 bytes
->Temporary Internet Files folder emptied: 26557917 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47582990 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 904 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be deleted on reboot.
Windows Temp folder emptied: 51287315 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 120,33 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10142009_231015
Files moved on Reboot...
File move failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 oct. 2009 à 23:25
14 oct. 2009 à 23:25
vu ....
la suite.... ;)
la suite.... ;)
Voici le rapport Combo fix:
ComboFix 09-10-14.01 - Famille Galley 14/10/2009 23:29.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1007 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille Galley\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Famille Galley\soundman .exe
c:\documents and settings\Famille Galley\soundman.exe
c:\windows\EEventManager .INI
c:\windows\Installer\145019.msi
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\EntDrv51.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\nerocheck .exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_EntDrv51
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-14 au 2009-10-14 ))))))))))))))))))))))))))))))))))))
.
2009-10-14 21:34 . 2009-10-14 21:34 30720 ----a-w- c:\documents and settings\Famille Galley\soundman.exe
2009-10-14 16:56 . 2009-10-14 20:57 -------- d-----w- C:\_OTM
2009-10-13 19:37 . 2009-10-13 19:37 -------- d-----w- C:\rsit
2009-10-13 19:26 . 2009-10-13 19:26 -------- d-----w- c:\program files\Trend Micro
2009-10-13 19:25 . 2009-10-13 19:25 -------- d-----w- c:\documents and settings\All Users\Application Data\PrevxCSI
2009-10-13 19:19 . 2009-10-13 19:19 -------- d-----w- c:\program files\Fichiers communs\Cisco Systems
2009-10-13 19:19 . 2004-09-22 18:00 58048 ----a-w- c:\windows\system32\drivers\mvstdi5x.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-13 17:02 . 2009-10-13 18:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 17:53 . 2009-10-13 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-11 17:53 . 2009-10-13 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 17:46 . 2009-10-11 17:46 -------- d-----w- c:\program files\CCleaner
2009-10-11 16:50 . 2009-10-11 16:50 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\gtopala
2009-10-11 16:06 . 2009-10-11 16:06 -------- d-sh--w- c:\documents and settings\Famille Galley\PrivacIE
2009-10-11 16:05 . 2009-10-11 16:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\Famille Galley\IETldCache
2009-10-11 16:02 . 2009-10-11 16:02 -------- d-----w- c:\windows\ie8updates
2009-10-11 16:01 . 2009-10-11 16:01 -------- dc-h--w- c:\windows\ie8
2009-10-11 15:59 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-11 15:58 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-11 15:58 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-11 10:59 . 2009-10-11 17:22 307200 ----a-w- c:\windows\system32\e5n5krupcn8o.dll
2009-10-11 10:24 . 2009-10-11 10:24 -------- d-----w- C:\Downloads
2009-10-11 10:15 . 2009-10-11 10:15 -------- d-----w- C:\Organized Music
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound3.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound2.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound1.dll
2009-10-11 10:12 . 2000-05-01 22:02 110592 ----a-w- c:\windows\system32\ccrpbds6.dll
2009-10-02 17:56 . 2009-10-03 10:24 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Epson
2009-10-02 17:53 . 2008-08-08 02:09 86528 ----a-w- c:\windows\system32\E_FLBFBE.DLL
2009-10-02 17:53 . 2007-12-07 02:01 78848 ----a-w- c:\windows\system32\E_FD4BFBE.DLL
2009-10-02 17:53 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-10-02 17:53 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-10-02 17:52 . 2009-10-02 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-10-02 17:49 . 2009-10-02 17:51 -------- d-----w- c:\program files\Epson Software
2009-10-02 17:48 . 2009-10-02 17:49 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:45 . 2009-10-02 17:45 -------- dc----w- c:\windows\system32\DRVSTORE
2009-10-02 17:45 . 2009-10-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-10-02 17:45 . 2006-08-25 00:00 9216 ----a-w- c:\windows\system32\escdev.dll
2009-10-02 17:45 . 2008-11-16 22:00 342016 ----a-w- c:\windows\system32\eswiaud.dll
2009-10-02 17:14 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-14 21:20 . 2007-01-14 10:01 30720 ----a-w- c:\windows\system32\nerocheck.exe
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\program files\Fichiers communs\Network Associates
2009-10-11 14:06 . 2007-01-13 15:38 81256 ----a-w- c:\documents and settings\Famille Galley\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 07:47 . 2003-04-24 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 07:47 . 2003-04-24 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-02 17:51 . 2007-01-13 15:42 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-02 17:50 . 2007-01-13 17:14 -------- d-----w- c:\program files\EPSON
2009-10-02 17:50 . 2007-01-13 15:40 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-30 18:26 . 2007-01-13 17:13 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Canon
2009-09-26 07:17 . 2007-12-23 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-22 18:35 . 2007-01-13 17:15 -------- d-----w- c:\program files\Fichiers communs\EPSON
2009-09-19 13:07 . 2007-01-14 09:03 -------- d-----w- c:\program files\CyberLink
2009-09-19 13:06 . 2007-01-14 18:14 -------- d-----w- c:\program files\palmOne
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2009-09-07 11:41 . 2007-01-27 17:00 -------- d-----w- c:\program files\Pinnacle
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-08-05 09:00 . 2003-04-24 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Asus Probe\AsusProb.exe" [2009-10-14 30720]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2009-10-14 30720]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"WebDriveTray"="c:\apps\NetDrive\netdrive.exe" [2003-06-04 294912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-10-14 30720]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-14 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Famille Galley\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers Printkey2000.lnk - c:\apps\PrintKey2000\Printkey2000.exe [2007-4-9 869376]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Appss\\adslTV\\adslTV.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\eeventmanager .exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [13/10/2009 21:19 58048]
R2 WebDriveFSD;WebDrive File System Driver;c:\apps\NetDrive\rffsd.sys [12/06/2007 09:18 67032]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
S4 RFNP32;WebDrive Provider; [x]
.
Contenu du dossier 'Tâches planifiées'
2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
2009-10-14 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.my.yahoo.com/
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-VLC media player - c:\apps\adslTV\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-14 23:34
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
- - - - - - - > 'explorer.exe'(1420)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\program files\WinRAR\rarext.dll
c:\windows\system32\rfshext.dll
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
c:\windows\system32\rfshres.dll
c:\program files\Network Associates\VirusScan\shext.dll
c:\program files\Network Associates\VirusScan\RES0c\ShExtRes.dll
c:\program files\Malwarebytes' Anti-Malware\mbamext.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Epson Software\Easy Photo Print\EPTBL.dll
c:\program files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
c:\windows\system32\RFNP32.DLL
c:\program files\Microsoft Office\OFFICE11\msohev.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\Mcshield.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Epson Software\Event Manager\eeventmanager .exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-10-14 23:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-14 21:38
Avant-CF: 16 444 936 192 octets libres
Après-CF: 16 278 892 544 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptOut
239 --- E O F --- 2009-10-13 17:10
ComboFix 09-10-14.01 - Famille Galley 14/10/2009 23:29.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1007 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille Galley\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Famille Galley\soundman .exe
c:\documents and settings\Famille Galley\soundman.exe
c:\windows\EEventManager .INI
c:\windows\Installer\145019.msi
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\EntDrv51.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\nerocheck .exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_EntDrv51
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-14 au 2009-10-14 ))))))))))))))))))))))))))))))))))))
.
2009-10-14 21:34 . 2009-10-14 21:34 30720 ----a-w- c:\documents and settings\Famille Galley\soundman.exe
2009-10-14 16:56 . 2009-10-14 20:57 -------- d-----w- C:\_OTM
2009-10-13 19:37 . 2009-10-13 19:37 -------- d-----w- C:\rsit
2009-10-13 19:26 . 2009-10-13 19:26 -------- d-----w- c:\program files\Trend Micro
2009-10-13 19:25 . 2009-10-13 19:25 -------- d-----w- c:\documents and settings\All Users\Application Data\PrevxCSI
2009-10-13 19:19 . 2009-10-13 19:19 -------- d-----w- c:\program files\Fichiers communs\Cisco Systems
2009-10-13 19:19 . 2004-09-22 18:00 58048 ----a-w- c:\windows\system32\drivers\mvstdi5x.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-13 17:02 . 2009-10-13 18:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 17:53 . 2009-10-13 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-11 17:53 . 2009-10-13 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 17:46 . 2009-10-11 17:46 -------- d-----w- c:\program files\CCleaner
2009-10-11 16:50 . 2009-10-11 16:50 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\gtopala
2009-10-11 16:06 . 2009-10-11 16:06 -------- d-sh--w- c:\documents and settings\Famille Galley\PrivacIE
2009-10-11 16:05 . 2009-10-11 16:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\Famille Galley\IETldCache
2009-10-11 16:02 . 2009-10-11 16:02 -------- d-----w- c:\windows\ie8updates
2009-10-11 16:01 . 2009-10-11 16:01 -------- dc-h--w- c:\windows\ie8
2009-10-11 15:59 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-11 15:58 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-11 15:58 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-11 10:59 . 2009-10-11 17:22 307200 ----a-w- c:\windows\system32\e5n5krupcn8o.dll
2009-10-11 10:24 . 2009-10-11 10:24 -------- d-----w- C:\Downloads
2009-10-11 10:15 . 2009-10-11 10:15 -------- d-----w- C:\Organized Music
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound3.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound2.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound1.dll
2009-10-11 10:12 . 2000-05-01 22:02 110592 ----a-w- c:\windows\system32\ccrpbds6.dll
2009-10-02 17:56 . 2009-10-03 10:24 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Epson
2009-10-02 17:53 . 2008-08-08 02:09 86528 ----a-w- c:\windows\system32\E_FLBFBE.DLL
2009-10-02 17:53 . 2007-12-07 02:01 78848 ----a-w- c:\windows\system32\E_FD4BFBE.DLL
2009-10-02 17:53 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-10-02 17:53 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-10-02 17:52 . 2009-10-02 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-10-02 17:49 . 2009-10-02 17:51 -------- d-----w- c:\program files\Epson Software
2009-10-02 17:48 . 2009-10-02 17:49 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:45 . 2009-10-02 17:45 -------- dc----w- c:\windows\system32\DRVSTORE
2009-10-02 17:45 . 2009-10-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-10-02 17:45 . 2006-08-25 00:00 9216 ----a-w- c:\windows\system32\escdev.dll
2009-10-02 17:45 . 2008-11-16 22:00 342016 ----a-w- c:\windows\system32\eswiaud.dll
2009-10-02 17:14 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-14 21:20 . 2007-01-14 10:01 30720 ----a-w- c:\windows\system32\nerocheck.exe
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\program files\Fichiers communs\Network Associates
2009-10-11 14:06 . 2007-01-13 15:38 81256 ----a-w- c:\documents and settings\Famille Galley\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 07:47 . 2003-04-24 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 07:47 . 2003-04-24 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-02 17:51 . 2007-01-13 15:42 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-02 17:50 . 2007-01-13 17:14 -------- d-----w- c:\program files\EPSON
2009-10-02 17:50 . 2007-01-13 15:40 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-30 18:26 . 2007-01-13 17:13 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Canon
2009-09-26 07:17 . 2007-12-23 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-22 18:35 . 2007-01-13 17:15 -------- d-----w- c:\program files\Fichiers communs\EPSON
2009-09-19 13:07 . 2007-01-14 09:03 -------- d-----w- c:\program files\CyberLink
2009-09-19 13:06 . 2007-01-14 18:14 -------- d-----w- c:\program files\palmOne
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2009-09-07 11:41 . 2007-01-27 17:00 -------- d-----w- c:\program files\Pinnacle
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-08-05 09:00 . 2003-04-24 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Asus Probe\AsusProb.exe" [2009-10-14 30720]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2009-10-14 30720]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"WebDriveTray"="c:\apps\NetDrive\netdrive.exe" [2003-06-04 294912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-10-14 30720]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-14 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Famille Galley\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers Printkey2000.lnk - c:\apps\PrintKey2000\Printkey2000.exe [2007-4-9 869376]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Appss\\adslTV\\adslTV.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\eeventmanager .exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [13/10/2009 21:19 58048]
R2 WebDriveFSD;WebDrive File System Driver;c:\apps\NetDrive\rffsd.sys [12/06/2007 09:18 67032]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
S4 RFNP32;WebDrive Provider; [x]
.
Contenu du dossier 'Tâches planifiées'
2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
2009-10-14 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.my.yahoo.com/
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-VLC media player - c:\apps\adslTV\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-14 23:34
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
- - - - - - - > 'explorer.exe'(1420)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\program files\WinRAR\rarext.dll
c:\windows\system32\rfshext.dll
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
c:\windows\system32\rfshres.dll
c:\program files\Network Associates\VirusScan\shext.dll
c:\program files\Network Associates\VirusScan\RES0c\ShExtRes.dll
c:\program files\Malwarebytes' Anti-Malware\mbamext.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Epson Software\Easy Photo Print\EPTBL.dll
c:\program files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
c:\windows\system32\RFNP32.DLL
c:\program files\Microsoft Office\OFFICE11\msohev.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\Mcshield.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Epson Software\Event Manager\eeventmanager .exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-10-14 23:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-14 21:38
Avant-CF: 16 444 936 192 octets libres
Après-CF: 16 278 892 544 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptOut
239 --- E O F --- 2009-10-13 17:10
Petite précision, ctv.exe ne tourne plus et plus d'iexplore qui se lance. En revanche, les taches schedulées sont revenues (elles lancent acrotray et sont indiquées comme crées par NetscheduleJodAdd) et bien sure5n5krupcn8o.dll est toujours là!
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
15 oct. 2009 à 00:07
15 oct. 2009 à 00:07
bien ...
fais ceci :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\e5n5krupcn8o.dll
Driver::
RFNP32
DirLook::
c:\windows\Tasks
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
fais ceci :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\e5n5krupcn8o.dll
Driver::
RFNP32
DirLook::
c:\windows\Tasks
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
OK, je lance ça ce soir (si j'ai le temps car départ en week-end prolongé). Merci encore.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
15 oct. 2009 à 09:30
15 oct. 2009 à 09:30
re,
OK, je lance ça ce soir
oui c'est mieux .... au moins le PC serait "quasi clean" au niveau infection si cela fonctionne ... ^^
OK, je lance ça ce soir
oui c'est mieux .... au moins le PC serait "quasi clean" au niveau infection si cela fonctionne ... ^^
Et voici le rapport (dll disparue):
ComboFix 09-10-14.01 - Famille Galley 15/10/2009 18:35.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1058 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille Galley\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille Galley\Bureau\CFScript
FILE ::
"c:\windows\system32\e5n5krupcn8o.dll"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Famille Galley\soundman .exe
c:\documents and settings\Famille Galley\soundman.exe
c:\windows\EEventManager .INI
c:\windows\system32\e5n5krupcn8o.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_RFNP32
-------\Service_RFNP32
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-15 au 2009-10-15 ))))))))))))))))))))))))))))))))))))
.
2009-10-15 16:31 . 2009-10-15 16:31 -------- d-----w- c:\windows\LastGood.Tmp
2009-10-14 16:56 . 2009-10-14 20:57 -------- d-----w- C:\_OTM
2009-10-13 19:37 . 2009-10-13 19:37 -------- d-----w- C:\rsit
2009-10-13 19:26 . 2009-10-13 19:26 -------- d-----w- c:\program files\Trend Micro
2009-10-13 19:25 . 2009-10-13 19:25 -------- d-----w- c:\documents and settings\All Users\Application Data\PrevxCSI
2009-10-13 19:19 . 2009-10-13 19:19 -------- d-----w- c:\program files\Fichiers communs\Cisco Systems
2009-10-13 19:19 . 2004-09-22 18:00 58048 ----a-w- c:\windows\system32\drivers\mvstdi5x.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-13 17:02 . 2009-10-13 18:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 17:53 . 2009-10-13 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-11 17:53 . 2009-10-13 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 17:46 . 2009-10-11 17:46 -------- d-----w- c:\program files\CCleaner
2009-10-11 16:50 . 2009-10-11 16:50 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\gtopala
2009-10-11 16:06 . 2009-10-11 16:06 -------- d-sh--w- c:\documents and settings\Famille Galley\PrivacIE
2009-10-11 16:05 . 2009-10-11 16:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\Famille Galley\IETldCache
2009-10-11 16:02 . 2009-10-11 16:02 -------- d-----w- c:\windows\ie8updates
2009-10-11 16:01 . 2009-10-11 16:01 -------- dc-h--w- c:\windows\ie8
2009-10-11 15:59 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-11 15:58 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-11 15:58 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-11 10:24 . 2009-10-11 10:24 -------- d-----w- C:\Downloads
2009-10-11 10:15 . 2009-10-11 10:15 -------- d-----w- C:\Organized Music
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound3.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound2.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound1.dll
2009-10-11 10:12 . 2000-05-01 22:02 110592 ----a-w- c:\windows\system32\ccrpbds6.dll
2009-10-02 17:56 . 2009-10-03 10:24 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Epson
2009-10-02 17:53 . 2008-08-08 02:09 86528 ----a-w- c:\windows\system32\E_FLBFBE.DLL
2009-10-02 17:53 . 2007-12-07 02:01 78848 ----a-w- c:\windows\system32\E_FD4BFBE.DLL
2009-10-02 17:53 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-10-02 17:53 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-10-02 17:52 . 2009-10-02 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-10-02 17:49 . 2009-10-02 17:51 -------- d-----w- c:\program files\Epson Software
2009-10-02 17:48 . 2009-10-02 17:49 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:45 . 2009-10-02 17:45 -------- dc----w- c:\windows\system32\DRVSTORE
2009-10-02 17:45 . 2009-10-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-10-02 17:45 . 2006-08-25 00:00 9216 ----a-w- c:\windows\system32\escdev.dll
2009-10-02 17:45 . 2008-11-16 22:00 342016 ----a-w- c:\windows\system32\eswiaud.dll
2009-10-02 17:14 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-15 16:40 . 2009-10-15 16:40 30720 ----a-w- c:\documents and settings\Famille Galley\soundman.exe
2009-10-14 21:20 . 2007-01-14 10:01 30720 ----a-w- c:\windows\system32\nerocheck.exe
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\program files\Fichiers communs\Network Associates
2009-10-11 14:06 . 2007-01-13 15:38 81256 ----a-w- c:\documents and settings\Famille Galley\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 07:47 . 2003-04-24 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 07:47 . 2003-04-24 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-02 17:51 . 2007-01-13 15:42 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-02 17:50 . 2007-01-13 17:14 -------- d-----w- c:\program files\EPSON
2009-10-02 17:50 . 2007-01-13 15:40 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-30 18:26 . 2007-01-13 17:13 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Canon
2009-09-26 07:17 . 2007-12-23 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-22 18:35 . 2007-01-13 17:15 -------- d-----w- c:\program files\Fichiers communs\EPSON
2009-09-19 13:07 . 2007-01-14 09:03 -------- d-----w- c:\program files\CyberLink
2009-09-19 13:06 . 2007-01-14 18:14 -------- d-----w- c:\program files\palmOne
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2009-09-07 11:41 . 2007-01-27 17:00 -------- d-----w- c:\program files\Pinnacle
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-08-05 09:00 . 2003-04-24 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\windows\Tasks ----
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At24.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At22.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At23.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At20.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At21.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At17.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At18.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At19.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At14.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At15.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At16.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At11.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At12.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At13.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At10.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At9.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At7.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At8.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At5.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At6.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At2.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At3.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At4.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At1.job
2008-01-27 12:38 . 2009-05-29 05:52 284 ----a-w- c:\windows\Tasks\AppleSoftwareUpdate.job
2007-01-14 18:20 . 2009-10-15 16:33 330 ---ha-w- c:\windows\Tasks\MP Scheduled Scan.job
2007-01-13 15:15 . 2009-10-15 16:34 6 ---ha-w- c:\windows\Tasks\SA.DAT
2007-01-13 15:13 . 2003-04-24 12:00 65 ---h--r- c:\windows\Tasks\desktop.ini
((((((((((((((((((((((((((((( SnapShot@2009-10-14_21.34.30 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-01-14 10:01 . 2009-10-14 21:20 30720 c:\windows\system32\nerocheck .exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Asus Probe\AsusProb.exe" [2009-10-15 30720]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2009-10-15 30720]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"WebDriveTray"="c:\apps\NetDrive\netdrive.exe" [2003-06-04 294912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-10-15 30720]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-14 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Famille Galley\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers Printkey2000.lnk - c:\apps\PrintKey2000\Printkey2000.exe [2007-4-9 869376]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Appss\\adslTV\\adslTV.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\eeventmanager .exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [13/10/2009 21:19 58048]
R2 WebDriveFSD;WebDrive File System Driver;c:\apps\NetDrive\rffsd.sys [12/06/2007 09:18 67032]
S3 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
.
Contenu du dossier 'Tâches planifiées'
2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
2009-10-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.my.yahoo.com/
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-15 18:40
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\windows\system32\nerocheck .exe 30720 bytes executable
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3700)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Epson Software\Event Manager\eeventmanager .exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-10-15 18:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-15 16:42
ComboFix2.txt 2009-10-14 21:38
Avant-CF: 16 256 950 272 octets libres
Après-CF: 16 221 597 696 octets libres
232 --- E O F --- 2009-10-13 17:10
ComboFix 09-10-14.01 - Famille Galley 15/10/2009 18:35.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1058 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille Galley\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille Galley\Bureau\CFScript
FILE ::
"c:\windows\system32\e5n5krupcn8o.dll"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Famille Galley\soundman .exe
c:\documents and settings\Famille Galley\soundman.exe
c:\windows\EEventManager .INI
c:\windows\system32\e5n5krupcn8o.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_RFNP32
-------\Service_RFNP32
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-15 au 2009-10-15 ))))))))))))))))))))))))))))))))))))
.
2009-10-15 16:31 . 2009-10-15 16:31 -------- d-----w- c:\windows\LastGood.Tmp
2009-10-14 16:56 . 2009-10-14 20:57 -------- d-----w- C:\_OTM
2009-10-13 19:37 . 2009-10-13 19:37 -------- d-----w- C:\rsit
2009-10-13 19:26 . 2009-10-13 19:26 -------- d-----w- c:\program files\Trend Micro
2009-10-13 19:25 . 2009-10-13 19:25 -------- d-----w- c:\documents and settings\All Users\Application Data\PrevxCSI
2009-10-13 19:19 . 2009-10-13 19:19 -------- d-----w- c:\program files\Fichiers communs\Cisco Systems
2009-10-13 19:19 . 2004-09-22 18:00 58048 ----a-w- c:\windows\system32\drivers\mvstdi5x.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-13 17:02 . 2009-10-13 18:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 17:53 . 2009-10-13 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-11 17:53 . 2009-10-13 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 17:46 . 2009-10-11 17:46 -------- d-----w- c:\program files\CCleaner
2009-10-11 16:50 . 2009-10-11 16:50 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\gtopala
2009-10-11 16:06 . 2009-10-11 16:06 -------- d-sh--w- c:\documents and settings\Famille Galley\PrivacIE
2009-10-11 16:05 . 2009-10-11 16:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\Famille Galley\IETldCache
2009-10-11 16:02 . 2009-10-11 16:02 -------- d-----w- c:\windows\ie8updates
2009-10-11 16:01 . 2009-10-11 16:01 -------- dc-h--w- c:\windows\ie8
2009-10-11 15:59 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-11 15:58 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-11 15:58 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-11 10:24 . 2009-10-11 10:24 -------- d-----w- C:\Downloads
2009-10-11 10:15 . 2009-10-11 10:15 -------- d-----w- C:\Organized Music
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound3.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound2.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound1.dll
2009-10-11 10:12 . 2000-05-01 22:02 110592 ----a-w- c:\windows\system32\ccrpbds6.dll
2009-10-02 17:56 . 2009-10-03 10:24 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Epson
2009-10-02 17:53 . 2008-08-08 02:09 86528 ----a-w- c:\windows\system32\E_FLBFBE.DLL
2009-10-02 17:53 . 2007-12-07 02:01 78848 ----a-w- c:\windows\system32\E_FD4BFBE.DLL
2009-10-02 17:53 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-10-02 17:53 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-10-02 17:52 . 2009-10-02 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-10-02 17:49 . 2009-10-02 17:51 -------- d-----w- c:\program files\Epson Software
2009-10-02 17:48 . 2009-10-02 17:49 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:45 . 2009-10-02 17:45 -------- dc----w- c:\windows\system32\DRVSTORE
2009-10-02 17:45 . 2009-10-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-10-02 17:45 . 2006-08-25 00:00 9216 ----a-w- c:\windows\system32\escdev.dll
2009-10-02 17:45 . 2008-11-16 22:00 342016 ----a-w- c:\windows\system32\eswiaud.dll
2009-10-02 17:14 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-15 16:40 . 2009-10-15 16:40 30720 ----a-w- c:\documents and settings\Famille Galley\soundman.exe
2009-10-14 21:20 . 2007-01-14 10:01 30720 ----a-w- c:\windows\system32\nerocheck.exe
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\program files\Fichiers communs\Network Associates
2009-10-11 14:06 . 2007-01-13 15:38 81256 ----a-w- c:\documents and settings\Famille Galley\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 07:47 . 2003-04-24 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 07:47 . 2003-04-24 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-02 17:51 . 2007-01-13 15:42 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-02 17:50 . 2007-01-13 17:14 -------- d-----w- c:\program files\EPSON
2009-10-02 17:50 . 2007-01-13 15:40 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-30 18:26 . 2007-01-13 17:13 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Canon
2009-09-26 07:17 . 2007-12-23 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-22 18:35 . 2007-01-13 17:15 -------- d-----w- c:\program files\Fichiers communs\EPSON
2009-09-19 13:07 . 2007-01-14 09:03 -------- d-----w- c:\program files\CyberLink
2009-09-19 13:06 . 2007-01-14 18:14 -------- d-----w- c:\program files\palmOne
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2009-09-07 11:41 . 2007-01-27 17:00 -------- d-----w- c:\program files\Pinnacle
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-08-05 09:00 . 2003-04-24 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\windows\Tasks ----
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At24.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At22.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At23.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At20.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At21.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At17.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At18.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At19.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At14.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At15.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At16.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At11.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At12.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At13.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At10.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At9.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At7.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At8.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At5.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At6.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At2.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At3.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At4.job
2009-10-14 21:48 . 2009-10-15 16:30 352 ----a-w- c:\windows\Tasks\At1.job
2008-01-27 12:38 . 2009-05-29 05:52 284 ----a-w- c:\windows\Tasks\AppleSoftwareUpdate.job
2007-01-14 18:20 . 2009-10-15 16:33 330 ---ha-w- c:\windows\Tasks\MP Scheduled Scan.job
2007-01-13 15:15 . 2009-10-15 16:34 6 ---ha-w- c:\windows\Tasks\SA.DAT
2007-01-13 15:13 . 2003-04-24 12:00 65 ---h--r- c:\windows\Tasks\desktop.ini
((((((((((((((((((((((((((((( SnapShot@2009-10-14_21.34.30 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-01-14 10:01 . 2009-10-14 21:20 30720 c:\windows\system32\nerocheck .exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Asus Probe\AsusProb.exe" [2009-10-15 30720]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2009-10-15 30720]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"WebDriveTray"="c:\apps\NetDrive\netdrive.exe" [2003-06-04 294912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-10-15 30720]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-14 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Famille Galley\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers Printkey2000.lnk - c:\apps\PrintKey2000\Printkey2000.exe [2007-4-9 869376]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Appss\\adslTV\\adslTV.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\eeventmanager .exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [13/10/2009 21:19 58048]
R2 WebDriveFSD;WebDrive File System Driver;c:\apps\NetDrive\rffsd.sys [12/06/2007 09:18 67032]
S3 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
.
Contenu du dossier 'Tâches planifiées'
2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
2009-10-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.my.yahoo.com/
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-15 18:40
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\windows\system32\nerocheck .exe 30720 bytes executable
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3700)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Epson Software\Event Manager\eeventmanager .exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-10-15 18:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-15 16:42
ComboFix2.txt 2009-10-14 21:38
Avant-CF: 16 256 950 272 octets libres
Après-CF: 16 221 597 696 octets libres
232 --- E O F --- 2009-10-13 17:10