Windows security center me harcèle
Résolu/Fermé
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
-
29 déc. 2009 à 13:58
algore666 Messages postés 9 Date d'inscription mardi 29 décembre 2009 Statut Membre Dernière intervention 5 janvier 2010 - 5 janv. 2010 à 14:41
algore666 Messages postés 9 Date d'inscription mardi 29 décembre 2009 Statut Membre Dernière intervention 5 janvier 2010 - 5 janv. 2010 à 14:41
A voir également:
- Windows security center me harcèle
- Clé windows 10 gratuit - Guide
- Windows 10 gratuit - Guide
- Windows 12 - Guide
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Windows ne démarre pas - Guide
14 réponses
tribun
Messages postés
64861
Date d'inscription
vendredi 24 août 2007
Statut
Membre
Dernière intervention
20 février 2020
12 511
29 déc. 2009 à 14:00
29 déc. 2009 à 14:00
bonjour
tu peut commencer par faire une analyse malwarebytes
et supprimer tout ce qu'il trouve
et puis ensuite faire un nettoyage CCleaner .
tu peut commencer par faire une analyse malwarebytes
et supprimer tout ce qu'il trouve
et puis ensuite faire un nettoyage CCleaner .
Utilisateur anonyme
29 déc. 2009 à 14:01
29 déc. 2009 à 14:01
Bonjour
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et install UsbFix de C_XX
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau.
# Choisi l option 1 (Recherche)
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
@+
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et install UsbFix de C_XX
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
# Double clic sur le raccourci UsbFix présent sur ton bureau.
# Choisi l option 1 (Recherche)
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
@+
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
29 déc. 2009 à 14:05
29 déc. 2009 à 14:05
Salut,
Tu as le reste d'une infection Koobface + des rogues + une infection par support amovible
Télécharge RemoveMD (merci Chiquitine29) sur ton bureau.
- Double clic dessus, le pc va redémarrer aussitôt.
- Au redémarrage, poste le rapport C:\Log.txt qui apparaitra.
============
Télécharge UsbFix (de C_XX , Chiquitine29, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu, Choisis l'option 1 (recherche)
▶ Laisse travailler l'outil et ne touche a rien .
▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra.
*Notes :*
1- le rapport UsbFix.txt est sauvegardé a la racine du disque
2- Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
3- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.</ital>
Tu as le reste d'une infection Koobface + des rogues + une infection par support amovible
Télécharge RemoveMD (merci Chiquitine29) sur ton bureau.
- Double clic dessus, le pc va redémarrer aussitôt.
- Au redémarrage, poste le rapport C:\Log.txt qui apparaitra.
============
Télécharge UsbFix (de C_XX , Chiquitine29, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu, Choisis l'option 1 (recherche)
▶ Laisse travailler l'outil et ne touche a rien .
▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra.
*Notes :*
1- le rapport UsbFix.txt est sauvegardé a la racine du disque
2- Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
3- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.</ital>
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
29 déc. 2009 à 14:23
29 déc. 2009 à 14:23
merci de votre réactivité, je me met au boulot entre deux fenetres pop ups
a tout de suite
a tout de suite
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
29 déc. 2009 à 14:39
29 déc. 2009 à 14:39
en fait j ai deux icônes suspectes en bas a droite ,
Windows Security Alert et Malware Defense ...
J ai déjà fait tourner CCCleaner plusieurs fois mais ça ne change rien,
De plus Spy Bot refuse de se lancer ....
Je redémarre et poste le scan Remove MD
++
Windows Security Alert et Malware Defense ...
J ai déjà fait tourner CCCleaner plusieurs fois mais ça ne change rien,
De plus Spy Bot refuse de se lancer ....
Je redémarre et poste le scan Remove MD
++
Re
Passe à ceci:
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l’enregistrer sur ton bureau en asdehi (tout simplement pour que l’infection ne le contre pas)
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Passe à ceci:
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l’enregistrer sur ton bureau en asdehi (tout simplement pour que l’infection ne le contre pas)
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
29 déc. 2009 à 14:45
29 déc. 2009 à 14:45
Re,
J'avais pas vu que tu étais le premier Guillaume5188.
Bonne continuation, bonnes fêtes ;)
Algore, fais ceci:
https://forums.commentcamarche.net/forum/affich-15892431-windows-security-center-me-harcele#6
J'avais pas vu que tu étais le premier Guillaume5188.
Bonne continuation, bonnes fêtes ;)
Algore, fais ceci:
https://forums.commentcamarche.net/forum/affich-15892431-windows-security-center-me-harcele#6
fix200
Messages postés
3243
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
158
29 déc. 2009 à 14:52
29 déc. 2009 à 14:52
C'est tribun le premier.
Mais je vois que ce qu'il préconise n'a aucun effet .
Effectivement, si j'étais toi je l'aurais tous simplement ignoré ^^
@+
;)
Mais je vois que ce qu'il préconise n'a aucun effet .
Effectivement, si j'étais toi je l'aurais tous simplement ignoré ^^
@+
;)
tribun
Messages postés
64861
Date d'inscription
vendredi 24 août 2007
Statut
Membre
Dernière intervention
20 février 2020
12 511
29 déc. 2009 à 16:06
29 déc. 2009 à 16:06
Windows Security Alert et Malware Defense ...
Malware défense empêche nombre de logiciels de sécurité et de désinfection de marcher .
alors bonne chance
et bonne année .
Malware défense empêche nombre de logiciels de sécurité et de désinfection de marcher .
alors bonne chance
et bonne année .
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
29 déc. 2009 à 20:26
29 déc. 2009 à 20:26
le lien RemoveMD est corrompu
désolé de la lenteur mais je plante à répetition
je scan avec USB Fix ....
merci
désolé de la lenteur mais je plante à répetition
je scan avec USB Fix ....
merci
je viens de me reconnecter / je suis les instructions pour combo fix
en attendant, un peu de lecture si il y a quelque chose à en tirer
j ai réussi les scans USB Fix, Remove AD et Navilog en mode sans échec, voici les résultats (on sait jamais...) :
USB FIX :
############################## | UsbFix V6.068 |
User : remi jacquet (Administrateurs) # NOM-E60BD234BD5
Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
Start at: 20:28:16 | 29/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Malware Defense 1.0 [ Enabled | (!) Outdated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 186,31 Go (50,54 Go free) [420785 cdor] # NTFS
D:\ -> Disque CD-ROM # 592,02 Mo (0 Mo free) [VRMHOEM_FR] # CDFS
E:\ -> Disque fixe local # 465,76 Go (402,83 Go free) [Nouveau nom] # NTFS
F:\ -> Disque amovible # 1,89 Go (512,61 Mo free) [MORSAY] # FAT32
G:\ -> Disque amovible # 3,68 Go (47,59 Mo free) [IPOD (REMI] # FAT32
J:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 872
C:\WINDOWS\system32\csrss.exe 952
C:\WINDOWS\system32\winlogon.exe 992
C:\WINDOWS\system32\services.exe 1048
C:\WINDOWS\system32\lsass.exe 1060
C:\WINDOWS\system32\Ati2evxx.exe 1232
C:\WINDOWS\system32\svchost.exe 1256
C:\WINDOWS\system32\svchost.exe 1368
C:\WINDOWS\System32\svchost.exe 1428
C:\WINDOWS\system32\svchost.exe 1548
C:\WINDOWS\system32\Ati2evxx.exe 1596
C:\WINDOWS\system32\svchost.exe 1632
C:\WINDOWS\system32\spoolsv.exe 1976
C:\WINDOWS\system32\svchost.exe 132
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 192
C:\Program Files\Bonjour\mDNSResponder.exe 204
C:\WINDOWS\system32\CTsvcCDA.exe 244
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 460
C:\WINDOWS\system32\svchost.exe 1528
C:\WINDOWS\system32\svchost.exe 1664
C:\Program Files\Java\jre6\bin\jqs.exe 1740
C:\WINDOWS\Explorer.EXE 1860
C:\WINDOWS\System32\svchost.exe 668
C:\WINDOWS\System32\svchost.exe 772
C:\WINDOWS\system32\svchost.exe 480
C:\WINDOWS\system32\svchost.exe 664
C:\WINDOWS\system32\wdfmgr.exe 1488
C:\Program Files\websrvx\websrvx.exe 828
C:\WINDOWS\system32\MsPMSPSv.exe 1272
C:\WINDOWS\system32\ctfmon.exe 2140
C:\WINDOWS\System32\alg.exe 3168
C:\Program Files\Orange\Launcher\Launcher.exe 3176
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe 3580
C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe 3620
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 3716
C:\Program Files\D-Tools\daemon.exe 2308
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 1332
C:\Program Files\Orange\Systray\SystrayApp.exe 2528
C:\Program Files\QuickTime\QTTask.exe 3024
C:\Program Files\iTunes\iTunesHelper.exe 3324
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe 3400
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe 3456
C:\WINDOWS\RTHDCPL.EXE 3612
C:\Program Files\ASUS\Six Engine\SixEngine.exe 3736
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe 3928
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE 3984
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 348
C:\Program Files\Java\jre6\bin\jusched.exe 2180
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 3136
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe 3444
C:\Program Files\Orange\connectivity\connectivitymanager.exe 3680
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE 1884
C:\Program Files\Orange\Deskboard\deskboard.exe 3852
C:\DOCUME~1\REMIJA~1\LOCALS~1\Temp\settdebugx.exe 248
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe 2456
C:\Program Files\iPod\bin\iPodService.exe 3260
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 1460
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe 2668
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe 2672
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe 4020
C:\DOCUME~1\REMIJA~1\LOCALS~1\Temp\wscsvc32.exe 3548
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe 2584
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe 3780
C:\WINDOWS\system32\wbem\wmiprvse.exe 2404
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 2500
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 3104
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe 3800
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe 2984
C:\Program Files\Mozilla Firefox\firefox.exe 2236
C:\Program Files\Internet Explorer\Iexplore.exe 1984
C:\WINDOWS\system32\wbem\wmiprvse.exe 2504
################## | Elements infectieux |
C:\Documents and Settings\remi jacquet\RavMonLog
C:\WINDOWS\System32\autorun.inf
C:\DOCUME~1\REMIJA~1\Bureau\u95.exe
D:\autorun.inf
F:\autorun.inf
F:\autorun.inf -> fichier appelé : "F:\EXPLORER.EXE" ( Présent ! )
F:\.\recycled\info.exe
F:\adober.exe
F:\explorer.exe
F:\RECYCLED\INFO.exe
G:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\EXPLORER.EXE" ( Absent ! )
G:\.\recycled\info.exe
G:\adober.exe
G:\RavMonLog
G:\RECYCLED\INFO.exe
################## | Registre |
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wsctf.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "pp"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2SERVICE.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArcaCheck.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arcavir.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcls.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz_se.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz4.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdinit.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caav.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caavguiscan.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CASECURITYCENTER.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccupdate.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfp.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfpupdat.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdagent.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRWEB32.EXE]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FAMEH32.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPAVSERVER.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fpscan.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPWIN.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSAV32.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSGK32ST.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSMA32.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outpost.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zapro.exe]
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{1acc9876-1d00-11dc-b0d0-0011d8a26bcf}
Shell\Auto\command =L:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{2f103258-6415-11de-80f1-001cf0900182}
shell\autorun\command =F:\wdsync.exe
HKCU\..\..\Explorer\MountPoints2\{374dcfba-8baf-11dc-b141-0011d8a26bcf}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL
HKCU\..\..\Explorer\MountPoints2\{8d9e914a-c8d3-11dc-8ee7-001cf0900182}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{8d9e914b-c8d3-11dc-8ee7-001cf0900182}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{9322ad9c-cc78-11dc-8eed-0011d8a26bcf}
Shell\Auto\command =K:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{b1f82c48-b5ca-11dc-b16d-0011d8a26bcf}
Shell\Auto\command =K:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{bbf3c249-acc9-11dd-8fd5-0011d8a26bcf}
shell\autorun\command =K:\EXPLORER.EXE
shell\explore\command =K:\EXPLORER.EXE
shell\open\command =K:\EXPLORER.EXE
HKCU\..\..\Explorer\MountPoints2\{d0fad6f2-05ae-11dd-8f26-0011d8a26bcf}
Shell\Auto\command =K:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
################## | Cracks > Keygens > Serials |
"C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe"
04/06/2004 19:40 |Size 78662 |Crc32 801742be |Md5 c0ba1e1f50d3f738d04053629ae7635c
"C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : WindowsXP Product Key Viewer.exe
"C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : XPProCorp-keyChanger.exe
################## | ! Fin du rapport # UsbFix V6.068 ! |
Remove AD :
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 26.12.2009 à 20:47
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:19:39, 29/12/2009 | Mode sans echec | Option: SCAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: NOM-E60BD234BD5 | Utilisateur actuel: remi jacquet
Bonnes fêtes de fin d'année à vous tous :)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Live-Player
C:\Program Files\Live-Player
C:\DOCUME~1\REMIJA~1\APPLIC~1\live-player
C:\DOCUME~1\REMIJA~1\Bureau\trucs et choses\Live-Player_setup(2).exe
C:\DOCUME~1\REMIJA~1\Bureau\trucs et choses\Live-Player_setup.exe
C:\DOCUME~1\ALLUSE~1\Bureau\Live-Player.lnk
.
HKCU\software\fcn
HKCU\software\live-player
HKLM\software\live-player
HKU\s-1-5-21-4024459051-191397108-588666201-1006\software\fcn
HKU\s-1-5-21-4024459051-191397108-588666201-1006\software\live-player
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.6 [fr] *
.
Nom du profil: 98xuolx2.default (remi jacquet)
.
(REMIJA~1, prefs.js) Browser.download.dir, C:\Documents and Settings\remi jacquet\Bureau
(REMIJA~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\remi jacquet\Bureau
(REMIJA~1, prefs.js) Browser.search.defaultenginename, Google
(REMIJA~1, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(REMIJA~1, prefs.js) Browser.search.selectedEngine, Google
(REMIJA~1, prefs.js) Extensions.enabledItems, {3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091119W,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,jqs@sun.com:1.0,{5B52016C-D097-4aec-BE61-9F129D8FDDBA}:2.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.6
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Search Page: hxxp://www.google.com
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://www.google.com/ie
Enable Browser Extensions: yes
Use Search Asst: no
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\Medieval total war cd1 & cd2 + manual & no cd\medieval total war 1.1 patch.exe
C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip
C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe
.
===================================
.
3297 Octet(s) - C:\Ad-Report-SCAN[1].log
.
81 Fichier(s) - C:\DOCUME~1\REMIJA~1\LOCALS~1\Temp
40 Fichier(s) - C:\WINDOWS\Temp
129 Fichier(s) - C:\WINDOWS\Prefetch
.
2 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 21:45:34 | 29/12/2009 - SCAN[1]
.
============== E.O.F ==============
.
Navilog :
Search Navipromo version 3.7.7 commencé le 29/12/2009 à 22:01:21,42
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : BIOS Date: 11/26/08 18:02:39 Ver: 08.00.14
USER : rj ( Administrator )
BOOT : Fail-safe boot
Antivirus : Malware Defense 1.0 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:186 Go (Free:52 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:465 Go (Free:402 Go)
F:\ (USB) - FAT32 - Total:1934 Mo (Free:0 Go)
G:\ (USB) - FAT32 - Total:3763 Mo (Free:0 Go)
J:\ (CD or DVD)
Recherche executé en mode sans échec
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\remi jacquet\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\remi jacquet\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\remi jacquet\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\remi jacquet\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\prefetch\LIVE-PLAYER.EXE-1488556A.pf trouvé !
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\remi jacquet\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 29/12/2009 à 22:12:07,04 ***
en attendant, un peu de lecture si il y a quelque chose à en tirer
j ai réussi les scans USB Fix, Remove AD et Navilog en mode sans échec, voici les résultats (on sait jamais...) :
USB FIX :
############################## | UsbFix V6.068 |
User : remi jacquet (Administrateurs) # NOM-E60BD234BD5
Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
Start at: 20:28:16 | 29/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Malware Defense 1.0 [ Enabled | (!) Outdated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 186,31 Go (50,54 Go free) [420785 cdor] # NTFS
D:\ -> Disque CD-ROM # 592,02 Mo (0 Mo free) [VRMHOEM_FR] # CDFS
E:\ -> Disque fixe local # 465,76 Go (402,83 Go free) [Nouveau nom] # NTFS
F:\ -> Disque amovible # 1,89 Go (512,61 Mo free) [MORSAY] # FAT32
G:\ -> Disque amovible # 3,68 Go (47,59 Mo free) [IPOD (REMI] # FAT32
J:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 872
C:\WINDOWS\system32\csrss.exe 952
C:\WINDOWS\system32\winlogon.exe 992
C:\WINDOWS\system32\services.exe 1048
C:\WINDOWS\system32\lsass.exe 1060
C:\WINDOWS\system32\Ati2evxx.exe 1232
C:\WINDOWS\system32\svchost.exe 1256
C:\WINDOWS\system32\svchost.exe 1368
C:\WINDOWS\System32\svchost.exe 1428
C:\WINDOWS\system32\svchost.exe 1548
C:\WINDOWS\system32\Ati2evxx.exe 1596
C:\WINDOWS\system32\svchost.exe 1632
C:\WINDOWS\system32\spoolsv.exe 1976
C:\WINDOWS\system32\svchost.exe 132
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 192
C:\Program Files\Bonjour\mDNSResponder.exe 204
C:\WINDOWS\system32\CTsvcCDA.exe 244
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 460
C:\WINDOWS\system32\svchost.exe 1528
C:\WINDOWS\system32\svchost.exe 1664
C:\Program Files\Java\jre6\bin\jqs.exe 1740
C:\WINDOWS\Explorer.EXE 1860
C:\WINDOWS\System32\svchost.exe 668
C:\WINDOWS\System32\svchost.exe 772
C:\WINDOWS\system32\svchost.exe 480
C:\WINDOWS\system32\svchost.exe 664
C:\WINDOWS\system32\wdfmgr.exe 1488
C:\Program Files\websrvx\websrvx.exe 828
C:\WINDOWS\system32\MsPMSPSv.exe 1272
C:\WINDOWS\system32\ctfmon.exe 2140
C:\WINDOWS\System32\alg.exe 3168
C:\Program Files\Orange\Launcher\Launcher.exe 3176
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe 3580
C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe 3620
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 3716
C:\Program Files\D-Tools\daemon.exe 2308
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 1332
C:\Program Files\Orange\Systray\SystrayApp.exe 2528
C:\Program Files\QuickTime\QTTask.exe 3024
C:\Program Files\iTunes\iTunesHelper.exe 3324
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe 3400
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe 3456
C:\WINDOWS\RTHDCPL.EXE 3612
C:\Program Files\ASUS\Six Engine\SixEngine.exe 3736
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe 3928
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE 3984
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 348
C:\Program Files\Java\jre6\bin\jusched.exe 2180
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 3136
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe 3444
C:\Program Files\Orange\connectivity\connectivitymanager.exe 3680
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE 1884
C:\Program Files\Orange\Deskboard\deskboard.exe 3852
C:\DOCUME~1\REMIJA~1\LOCALS~1\Temp\settdebugx.exe 248
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe 2456
C:\Program Files\iPod\bin\iPodService.exe 3260
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 1460
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe 2668
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe 2672
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe 4020
C:\DOCUME~1\REMIJA~1\LOCALS~1\Temp\wscsvc32.exe 3548
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe 2584
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe 3780
C:\WINDOWS\system32\wbem\wmiprvse.exe 2404
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 2500
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 3104
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe 3800
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe 2984
C:\Program Files\Mozilla Firefox\firefox.exe 2236
C:\Program Files\Internet Explorer\Iexplore.exe 1984
C:\WINDOWS\system32\wbem\wmiprvse.exe 2504
################## | Elements infectieux |
C:\Documents and Settings\remi jacquet\RavMonLog
C:\WINDOWS\System32\autorun.inf
C:\DOCUME~1\REMIJA~1\Bureau\u95.exe
D:\autorun.inf
F:\autorun.inf
F:\autorun.inf -> fichier appelé : "F:\EXPLORER.EXE" ( Présent ! )
F:\.\recycled\info.exe
F:\adober.exe
F:\explorer.exe
F:\RECYCLED\INFO.exe
G:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\EXPLORER.EXE" ( Absent ! )
G:\.\recycled\info.exe
G:\adober.exe
G:\RavMonLog
G:\RECYCLED\INFO.exe
################## | Registre |
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wsctf.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "pp"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2SERVICE.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ArcaCheck.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\arcavir.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcls.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz_se.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz4.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdinit.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caav.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\caavguiscan.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CASECURITYCENTER.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccupdate.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfp.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cfpupdat.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmdagent.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DRWEB32.EXE]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FAMEH32.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPAVSERVER.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fpscan.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPWIN.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSAV32.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSGK32ST.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FSMA32.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outpost.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zapro.exe]
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{1acc9876-1d00-11dc-b0d0-0011d8a26bcf}
Shell\Auto\command =L:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{2f103258-6415-11de-80f1-001cf0900182}
shell\autorun\command =F:\wdsync.exe
HKCU\..\..\Explorer\MountPoints2\{374dcfba-8baf-11dc-b141-0011d8a26bcf}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL
HKCU\..\..\Explorer\MountPoints2\{8d9e914a-c8d3-11dc-8ee7-001cf0900182}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{8d9e914b-c8d3-11dc-8ee7-001cf0900182}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{9322ad9c-cc78-11dc-8eed-0011d8a26bcf}
Shell\Auto\command =K:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{b1f82c48-b5ca-11dc-b16d-0011d8a26bcf}
Shell\Auto\command =K:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
HKCU\..\..\Explorer\MountPoints2\{bbf3c249-acc9-11dd-8fd5-0011d8a26bcf}
shell\autorun\command =K:\EXPLORER.EXE
shell\explore\command =K:\EXPLORER.EXE
shell\open\command =K:\EXPLORER.EXE
HKCU\..\..\Explorer\MountPoints2\{d0fad6f2-05ae-11dd-8f26-0011d8a26bcf}
Shell\Auto\command =K:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
################## | Cracks > Keygens > Serials |
"C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe"
04/06/2004 19:40 |Size 78662 |Crc32 801742be |Md5 c0ba1e1f50d3f738d04053629ae7635c
"C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : WindowsXP Product Key Viewer.exe
"C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : XPProCorp-keyChanger.exe
################## | ! Fin du rapport # UsbFix V6.068 ! |
Remove AD :
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 26.12.2009 à 20:47
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:19:39, 29/12/2009 | Mode sans echec | Option: SCAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: NOM-E60BD234BD5 | Utilisateur actuel: remi jacquet
Bonnes fêtes de fin d'année à vous tous :)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Live-Player
C:\Program Files\Live-Player
C:\DOCUME~1\REMIJA~1\APPLIC~1\live-player
C:\DOCUME~1\REMIJA~1\Bureau\trucs et choses\Live-Player_setup(2).exe
C:\DOCUME~1\REMIJA~1\Bureau\trucs et choses\Live-Player_setup.exe
C:\DOCUME~1\ALLUSE~1\Bureau\Live-Player.lnk
.
HKCU\software\fcn
HKCU\software\live-player
HKLM\software\live-player
HKU\s-1-5-21-4024459051-191397108-588666201-1006\software\fcn
HKU\s-1-5-21-4024459051-191397108-588666201-1006\software\live-player
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.6 [fr] *
.
Nom du profil: 98xuolx2.default (remi jacquet)
.
(REMIJA~1, prefs.js) Browser.download.dir, C:\Documents and Settings\remi jacquet\Bureau
(REMIJA~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\remi jacquet\Bureau
(REMIJA~1, prefs.js) Browser.search.defaultenginename, Google
(REMIJA~1, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(REMIJA~1, prefs.js) Browser.search.selectedEngine, Google
(REMIJA~1, prefs.js) Extensions.enabledItems, {3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091119W,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,jqs@sun.com:1.0,{5B52016C-D097-4aec-BE61-9F129D8FDDBA}:2.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.6
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Search Page: hxxp://www.google.com
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://www.google.com/ie
Enable Browser Extensions: yes
Use Search Asst: no
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\Medieval total war cd1 & cd2 + manual & no cd\medieval total war 1.1 patch.exe
C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip
C:\Documents and Settings\remi jacquet\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe
.
===================================
.
3297 Octet(s) - C:\Ad-Report-SCAN[1].log
.
81 Fichier(s) - C:\DOCUME~1\REMIJA~1\LOCALS~1\Temp
40 Fichier(s) - C:\WINDOWS\Temp
129 Fichier(s) - C:\WINDOWS\Prefetch
.
2 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 21:45:34 | 29/12/2009 - SCAN[1]
.
============== E.O.F ==============
.
Navilog :
Search Navipromo version 3.7.7 commencé le 29/12/2009 à 22:01:21,42
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : BIOS Date: 11/26/08 18:02:39 Ver: 08.00.14
USER : rj ( Administrator )
BOOT : Fail-safe boot
Antivirus : Malware Defense 1.0 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:186 Go (Free:52 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:465 Go (Free:402 Go)
F:\ (USB) - FAT32 - Total:1934 Mo (Free:0 Go)
G:\ (USB) - FAT32 - Total:3763 Mo (Free:0 Go)
J:\ (CD or DVD)
Recherche executé en mode sans échec
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\remi jacquet\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\remi jacquet\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\remi jacquet\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\remi jacquet\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\prefetch\LIVE-PLAYER.EXE-1488556A.pf trouvé !
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\remi jacquet\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 29/12/2009 à 22:12:07,04 ***
combofix / asedhi ne veut pas s ouvrir pour l instant ...
J'ai finalement pu faire tourner ComboFix et le problème a disparu !!
plus de pop up et plus d'instabilité du système ni de plantage, en espérant que ça dure ....
Merci beaucoup de vos conseils et du suivi pas à pas de l'autiste que je suis ...
avant de redémarrer Combofix m'a indiqué ces 4 fichiers et m'a conseillé de les noter,
si ça peut éclairer une lanterne :
C:\Windows\System32\drivers\H8SRTxjlkmxeppj
C:\Windows\System32\H8SRTyuhyeqmavb.dll
C:\Windows\System32\H8SRTrrnlaiyntr.dat
C:\Windows\System32\H8SRTqlexwpmvi.dll
voici le Rapport tant attendu :
ComboFix 09-12-29.03 - rj 29/12/2009 23:03:30.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1670 [GMT 1:00]
Lancé depuis: c:\documents and settings\rj \Bureau\asdehi.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\RJA~1\LOCALS~1\Temp\wscsvc32.exe
c:\documents and settings\rj\RavMonLog
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\program files\Internet Explorer\ws2help.dll
c:\program files\websrvx
c:\program files\websrvx\websrvx.exe
c:\program files\Windows Media Player\ws2help.dll
c:\recycler\S-1-5-21-2622163045-2559539536-2258095333-1003
c:\windows\9g2234wesdf3dfgjf23
c:\windows\pp08.exe
c:\windows\pp09.exe
c:\windows\system32\12520437t.exe
c:\windows\system32\1350688494.dat
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\AutoRun.inf
c:\windows\system32\digiwet.dll
c:\windows\system32\drivers\H8SRTxjlkmxeppj.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\H8SRTqlxexwpmvi.dll
c:\windows\system32\H8SRTrrnlaiyntr.dat
c:\windows\system32\H8SRTyuhyeqmavb.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\srcr.dat
c:\windows\system32\sysloc
c:\windows\system32\sysloc\sysloc.dll
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_h8srtd.sys
-------\Legacy_h8srtd.sys
-------\Legacy_RASMANFAX
-------\Service_RasManFax
-------\Legacy_websrvx
-------\Service_websrvx
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-29 ))))))))))))))))))))))))))))))))))))
.
2009-12-29 20:19 . 2009-12-29 20:45 -------- d-----w- c:\program files\Ad-Remover
2009-12-29 18:52 . 2009-12-29 19:32 -------- d-----w- C:\UsbFix
2009-12-29 16:21 . 2009-12-29 16:21 -------- d-----w- c:\program files\Chec
2009-12-29 16:14 . 2009-12-29 16:14 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-12-29 13:07 . 2009-12-29 13:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- c:\program files\trend micro
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- C:\rsit
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 22:16 . 2008-08-27 22:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-29 22:10 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCStateBkp-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-29 22:10 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCState-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-29 21:49 . 2009-10-03 20:12 -------- d-----w- c:\documents and settings\rj\Application Data\HPAppData
2009-12-29 21:12 . 2009-05-25 11:09 -------- d-----w- c:\program files\Navilog1
2009-12-29 21:10 . 2008-08-27 22:56 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-29 16:48 . 2009-05-24 21:35 0 ----a-w- c:\windows\system32\drivers\46809ef5.sys
2009-12-29 13:29 . 2009-12-29 13:29 696832 ----a-w- c:\windows\isRS-000.tmp
2009-12-28 19:08 . 2008-06-24 10:36 -------- d-----w- c:\program files\MPlayer for Windows
2009-12-28 18:59 . 2008-06-14 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-12-03 15:14 . 2009-01-05 17:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-01-05 17:51 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-22 18:29 . 2009-11-22 18:29 -------- d-----w- c:\program files\Veetle
2009-11-17 20:31 . 2005-03-16 09:17 76136 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-17 20:31 . 2005-03-16 09:17 469622 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-10 11:59 . 2009-11-10 11:56 -------- d-----w- c:\documents and settings\rj\Application Data\HP
2009-11-10 11:59 . 2009-11-10 11:23 167395 ----a-w- c:\windows\hpoins30.dat
2009-11-10 11:59 . 2009-08-27 14:01 -------- d-----w- c:\program files\HP
2009-11-10 11:51 . 2009-08-27 14:03 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2009-11-10 11:51 . 2009-11-10 11:51 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-11-10 11:25 . 2009-11-10 11:25 -------- d-----w- c:\program files\Hewlett-Packard
2009-10-11 17:49 . 2005-06-25 13:02 65752 ----a-w- c:\documents and settings\rj\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2009-06-02 21:01 . 2009-06-02 21:01 20480 --sha-w- c:\windows\system32\1041y.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-14 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-07-24 148776]
"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 139264]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"CTHelper"="CTHELPER.EXE" [2003-10-06 24576]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-06-11 153136]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-02 5964800]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-17 45056]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\rj\Menu D‚marrer\Programmes\D‚marrage\
WkCalRem.LNK - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe [2004-7-12 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13472:TCP"= 13472:TCP:NortonAV
"17102:TCP"= 17102:TCP:NortonAV
"13303:TCP"= 13303:TCP:NortonAV
"12300:TCP"= 12300:TCP:NortonAV
"16649:TCP"= 16649:TCP:NortonAV
"15406:TCP"= 15406:TCP:NortonAV
"14539:TCP"= 14539:TCP:NortonAV
"14590:TCP"= 14590:TCP:NortonAV
"14785:TCP"= 14785:TCP:NortonAV
"12124:TCP"= 12124:TCP:NortonAV
"13695:TCP"= 13695:TCP:NortonAV
"16003:TCP"= 16003:TCP:NortonAV
"13040:TCP"= 13040:TCP:NortonAV
"17871:TCP"= 17871:TCP:NortonAV
"12395:TCP"= 12395:TCP:NortonAV
"16830:TCP"= 16830:TCP:NortonAV
"18327:TCP"= 18327:TCP:NortonAV
"16804:TCP"= 16804:TCP:NortonAV
"18693:TCP"= 18693:TCP:NortonAV
"16211:TCP"= 16211:TCP:NortonAV
"15449:TCP"= 15449:TCP:NortonAV
"16453:TCP"= 16453:TCP:NortonAV
"16633:TCP"= 16633:TCP:NortonAV
"13882:TCP"= 13882:TCP:NortonAV
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01/08/2005 15:37 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01/08/2005 15:37 5248]
R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [22/07/2008 09:01 151592]
R2 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [25/06/2005 14:41 15840]
S1 46809ef5;46809ef5;c:\windows\system32\drivers\46809ef5.sys [24/05/2009 22:35 0]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HPService REG_MULTI_SZ HPSLPSVC
.
Contenu du dossier 'Tâches planifiées'
2009-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2006-04-03 c:\windows\Tasks\Invite de commandes.job
- c:\windows\system32\cmd.exe [2005-03-16 02:33]
2006-04-03 c:\windows\Tasks\Winamp.job
- c:\progra~1\Winamp\winamp.exe [2005-11-15 19:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: e&xporter vers microsoft excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-wsctf.exe - wsctf.exe
HKCU-Run-Malware Defense - c:\program files\Malware Defense\mdefense.exe
AddRemove-exterminate it! - c:\program files\Exterminate It!\ExterminateIt_Uninst.exe
AddRemove-NeroVision!UninstallKey - c:\windows\UNNeroVision.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9b.exe
AddRemove-shop for hp supplies - c:\program files\HP\Digital Imaging\HPSSupply\hpzscr01.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 23:15
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll >>UNKNOWN [0x8ADACDD0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebf28
\Driver\ACPI -> ACPI.sys @ 0xf7337cb8
\Driver\atapi -> 0x89f4c4a0
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xf718dbb0
PacketIndicateHandler -> NDIS.sys @ 0xf717ca0d
SendHandler -> NDIS.sys @ 0xf7190b40
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(776)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3068)
c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTsvcCDA.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft Office\OFFICE11\WINWORD.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Heure de fin: 2009-12-29 23:23:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-29 22:23
Avant-CF: 54 392 078 336 octets libres
Après-CF: 54 333 464 576 octets libres
- - End Of File - - 55DDC62C8D43F3C8B8CBB27D8FE5081A
plus de pop up et plus d'instabilité du système ni de plantage, en espérant que ça dure ....
Merci beaucoup de vos conseils et du suivi pas à pas de l'autiste que je suis ...
avant de redémarrer Combofix m'a indiqué ces 4 fichiers et m'a conseillé de les noter,
si ça peut éclairer une lanterne :
C:\Windows\System32\drivers\H8SRTxjlkmxeppj
C:\Windows\System32\H8SRTyuhyeqmavb.dll
C:\Windows\System32\H8SRTrrnlaiyntr.dat
C:\Windows\System32\H8SRTqlexwpmvi.dll
voici le Rapport tant attendu :
ComboFix 09-12-29.03 - rj 29/12/2009 23:03:30.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1670 [GMT 1:00]
Lancé depuis: c:\documents and settings\rj \Bureau\asdehi.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\RJA~1\LOCALS~1\Temp\wscsvc32.exe
c:\documents and settings\rj\RavMonLog
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\program files\Internet Explorer\ws2help.dll
c:\program files\websrvx
c:\program files\websrvx\websrvx.exe
c:\program files\Windows Media Player\ws2help.dll
c:\recycler\S-1-5-21-2622163045-2559539536-2258095333-1003
c:\windows\9g2234wesdf3dfgjf23
c:\windows\pp08.exe
c:\windows\pp09.exe
c:\windows\system32\12520437t.exe
c:\windows\system32\1350688494.dat
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\AutoRun.inf
c:\windows\system32\digiwet.dll
c:\windows\system32\drivers\H8SRTxjlkmxeppj.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\H8SRTqlxexwpmvi.dll
c:\windows\system32\H8SRTrrnlaiyntr.dat
c:\windows\system32\H8SRTyuhyeqmavb.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\srcr.dat
c:\windows\system32\sysloc
c:\windows\system32\sysloc\sysloc.dll
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_h8srtd.sys
-------\Legacy_h8srtd.sys
-------\Legacy_RASMANFAX
-------\Service_RasManFax
-------\Legacy_websrvx
-------\Service_websrvx
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-29 ))))))))))))))))))))))))))))))))))))
.
2009-12-29 20:19 . 2009-12-29 20:45 -------- d-----w- c:\program files\Ad-Remover
2009-12-29 18:52 . 2009-12-29 19:32 -------- d-----w- C:\UsbFix
2009-12-29 16:21 . 2009-12-29 16:21 -------- d-----w- c:\program files\Chec
2009-12-29 16:14 . 2009-12-29 16:14 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-12-29 13:07 . 2009-12-29 13:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- c:\program files\trend micro
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- C:\rsit
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 22:16 . 2008-08-27 22:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-29 22:10 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCStateBkp-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-29 22:10 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCState-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-29 21:49 . 2009-10-03 20:12 -------- d-----w- c:\documents and settings\rj\Application Data\HPAppData
2009-12-29 21:12 . 2009-05-25 11:09 -------- d-----w- c:\program files\Navilog1
2009-12-29 21:10 . 2008-08-27 22:56 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-29 16:48 . 2009-05-24 21:35 0 ----a-w- c:\windows\system32\drivers\46809ef5.sys
2009-12-29 13:29 . 2009-12-29 13:29 696832 ----a-w- c:\windows\isRS-000.tmp
2009-12-28 19:08 . 2008-06-24 10:36 -------- d-----w- c:\program files\MPlayer for Windows
2009-12-28 18:59 . 2008-06-14 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-12-03 15:14 . 2009-01-05 17:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-01-05 17:51 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-22 18:29 . 2009-11-22 18:29 -------- d-----w- c:\program files\Veetle
2009-11-17 20:31 . 2005-03-16 09:17 76136 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-17 20:31 . 2005-03-16 09:17 469622 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-10 11:59 . 2009-11-10 11:56 -------- d-----w- c:\documents and settings\rj\Application Data\HP
2009-11-10 11:59 . 2009-11-10 11:23 167395 ----a-w- c:\windows\hpoins30.dat
2009-11-10 11:59 . 2009-08-27 14:01 -------- d-----w- c:\program files\HP
2009-11-10 11:51 . 2009-08-27 14:03 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2009-11-10 11:51 . 2009-11-10 11:51 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-11-10 11:25 . 2009-11-10 11:25 -------- d-----w- c:\program files\Hewlett-Packard
2009-10-11 17:49 . 2005-06-25 13:02 65752 ----a-w- c:\documents and settings\rj\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2009-06-02 21:01 . 2009-06-02 21:01 20480 --sha-w- c:\windows\system32\1041y.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-14 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-07-24 148776]
"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 139264]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"CTHelper"="CTHELPER.EXE" [2003-10-06 24576]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-06-11 153136]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-02 5964800]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-17 45056]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\rj\Menu D‚marrer\Programmes\D‚marrage\
WkCalRem.LNK - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe [2004-7-12 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13472:TCP"= 13472:TCP:NortonAV
"17102:TCP"= 17102:TCP:NortonAV
"13303:TCP"= 13303:TCP:NortonAV
"12300:TCP"= 12300:TCP:NortonAV
"16649:TCP"= 16649:TCP:NortonAV
"15406:TCP"= 15406:TCP:NortonAV
"14539:TCP"= 14539:TCP:NortonAV
"14590:TCP"= 14590:TCP:NortonAV
"14785:TCP"= 14785:TCP:NortonAV
"12124:TCP"= 12124:TCP:NortonAV
"13695:TCP"= 13695:TCP:NortonAV
"16003:TCP"= 16003:TCP:NortonAV
"13040:TCP"= 13040:TCP:NortonAV
"17871:TCP"= 17871:TCP:NortonAV
"12395:TCP"= 12395:TCP:NortonAV
"16830:TCP"= 16830:TCP:NortonAV
"18327:TCP"= 18327:TCP:NortonAV
"16804:TCP"= 16804:TCP:NortonAV
"18693:TCP"= 18693:TCP:NortonAV
"16211:TCP"= 16211:TCP:NortonAV
"15449:TCP"= 15449:TCP:NortonAV
"16453:TCP"= 16453:TCP:NortonAV
"16633:TCP"= 16633:TCP:NortonAV
"13882:TCP"= 13882:TCP:NortonAV
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01/08/2005 15:37 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01/08/2005 15:37 5248]
R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [22/07/2008 09:01 151592]
R2 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [25/06/2005 14:41 15840]
S1 46809ef5;46809ef5;c:\windows\system32\drivers\46809ef5.sys [24/05/2009 22:35 0]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HPService REG_MULTI_SZ HPSLPSVC
.
Contenu du dossier 'Tâches planifiées'
2009-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2006-04-03 c:\windows\Tasks\Invite de commandes.job
- c:\windows\system32\cmd.exe [2005-03-16 02:33]
2006-04-03 c:\windows\Tasks\Winamp.job
- c:\progra~1\Winamp\winamp.exe [2005-11-15 19:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: e&xporter vers microsoft excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKCU-Run-wsctf.exe - wsctf.exe
HKCU-Run-Malware Defense - c:\program files\Malware Defense\mdefense.exe
AddRemove-exterminate it! - c:\program files\Exterminate It!\ExterminateIt_Uninst.exe
AddRemove-NeroVision!UninstallKey - c:\windows\UNNeroVision.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9b.exe
AddRemove-shop for hp supplies - c:\program files\HP\Digital Imaging\HPSSupply\hpzscr01.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-29 23:15
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll >>UNKNOWN [0x8ADACDD0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebf28
\Driver\ACPI -> ACPI.sys @ 0xf7337cb8
\Driver\atapi -> 0x89f4c4a0
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xf718dbb0
PacketIndicateHandler -> NDIS.sys @ 0xf717ca0d
SendHandler -> NDIS.sys @ 0xf7190b40
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(776)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3068)
c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTsvcCDA.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft Office\OFFICE11\WINWORD.EXE
c:\windows\RTHDCPL.EXE
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Heure de fin: 2009-12-29 23:23:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-29 22:23
Avant-CF: 54 392 078 336 octets libres
Après-CF: 54 333 464 576 octets libres
- - End Of File - - 55DDC62C8D43F3C8B8CBB27D8FE5081A
Bonjour
1)Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", sélectionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le rouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
2)|==>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur/!\<==|
|===========>il est fort déconseillé de le transposer sur un autre ordinateur !<==========|
-----------------------------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Driver::
File::
c:\windows\isRS-000.tmp
Rootkit ::
Folder::
Services::
Registry:
-----------------------------------------------------------------
• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
• Quitte le Bloc Notes
• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
3)Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Merci à Malekal pour le tutoriel :
https://forum.malekal.com/viewtopic.php?f=58&t=10139
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log .
Poste le ;merci
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Ne pas oublier les guillemets
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe
Réactive tes protections.
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
@+
1)Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", sélectionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le rouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
2)|==>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur/!\<==|
|===========>il est fort déconseillé de le transposer sur un autre ordinateur !<==========|
-----------------------------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Driver::
File::
c:\windows\isRS-000.tmp
Rootkit ::
Folder::
Services::
Registry:
-----------------------------------------------------------------
• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
• Quitte le Bloc Notes
• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
3)Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Merci à Malekal pour le tutoriel :
https://forum.malekal.com/viewtopic.php?f=58&t=10139
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log .
Poste le ;merci
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Ne pas oublier les guillemets
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe
Réactive tes protections.
Le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
@+
bonjour et bonne année
voici le scan combofix :
ComboFix 09-12-29.06 - rj 30/12/2009 22:46:42.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1668 [GMT 1:00]
Lancé depuis: c:\documents and settings\rj\Bureau\combofix.exe
Commutateurs utilisés :: c:\documents and settings\rj\Bureau\CFScript.txt
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
FILE ::
"c:\windows\isRS-000.tmp"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\isRS-000.tmp
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-30 ))))))))))))))))))))))))))))))))))))
.
2009-12-29 22:48 . 2009-12-29 22:48 -------- d-----w- c:\program files\D-Link
2009-12-29 22:48 . 2009-12-29 22:48 -------- d-----w- c:\documents and settings\rj\Application Data\InstallShield
2009-12-29 21:54 . 2009-12-29 22:23 -------- d-----w- C:\asdehi
2009-12-29 20:19 . 2009-12-29 20:45 -------- d-----w- c:\program files\Ad-Remover
2009-12-29 18:52 . 2009-12-29 19:32 -------- d-----w- C:\UsbFix
2009-12-29 16:21 . 2009-12-29 16:21 -------- d-----w- c:\program files\Chec
2009-12-29 16:14 . 2009-12-29 16:14 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-12-29 13:07 . 2009-12-29 13:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- c:\program files\trend micro
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- C:\rsit
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 21:52 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCStateBkp-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-30 21:52 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCState-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-30 19:54 . 2008-08-27 22:56 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-30 13:38 . 2008-06-24 10:36 -------- d-----w- c:\program files\MPlayer for Windows
2009-12-30 12:26 . 2008-08-27 22:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-29 22:49 . 2009-12-29 22:49 -------- d-----w- c:\program files\ANI
2009-12-29 22:49 . 2005-04-13 08:53 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-29 21:49 . 2009-10-03 20:12 -------- d-----w- c:\documents and settings\rj\Application Data\HPAppData
2009-12-29 21:12 . 2009-05-25 11:09 -------- d-----w- c:\program files\Navilog1
2009-12-29 16:48 . 2009-05-24 21:35 0 ----a-w- c:\windows\system32\drivers\46809ef5.sys
2009-12-28 18:59 . 2008-06-14 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-12-03 15:14 . 2009-01-05 17:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-01-05 17:51 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-22 18:29 . 2009-11-22 18:29 -------- d-----w- c:\program files\Veetle
2009-11-17 20:31 . 2005-03-16 09:17 76136 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-17 20:31 . 2005-03-16 09:17 469622 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-10 11:59 . 2009-11-10 11:56 -------- d-----w- c:\documents and settings\rj\Application Data\HP
2009-11-10 11:59 . 2009-11-10 11:23 167395 ----a-w- c:\windows\hpoins30.dat
2009-11-10 11:59 . 2009-08-27 14:01 -------- d-----w- c:\program files\HP
2009-11-10 11:51 . 2009-08-27 14:03 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2009-11-10 11:51 . 2009-11-10 11:51 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-11-10 11:25 . 2009-11-10 11:25 -------- d-----w- c:\program files\Hewlett-Packard
2009-10-11 17:49 . 2005-06-25 13:02 65752 ----a-w- c:\documents and settings\rj\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2009-06-02 21:01 . 2009-06-02 21:01 20480 --sha-w- c:\windows\system32\1041y.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-14 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-07-24 148776]
"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"CTHelper"="CTHELPER.EXE" [2003-10-06 24576]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-06-11 153136]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-02 5964800]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-17 45056]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\rj\Menu D‚marrer\Programmes\D‚marrage\
WkCalRem.LNK - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe [2004-7-12 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13472:TCP"= 13472:TCP:NortonAV
"17102:TCP"= 17102:TCP:NortonAV
"13303:TCP"= 13303:TCP:NortonAV
"12300:TCP"= 12300:TCP:NortonAV
"16649:TCP"= 16649:TCP:NortonAV
"15406:TCP"= 15406:TCP:NortonAV
"14539:TCP"= 14539:TCP:NortonAV
"14590:TCP"= 14590:TCP:NortonAV
"14785:TCP"= 14785:TCP:NortonAV
"12124:TCP"= 12124:TCP:NortonAV
"13695:TCP"= 13695:TCP:NortonAV
"16003:TCP"= 16003:TCP:NortonAV
"13040:TCP"= 13040:TCP:NortonAV
"17871:TCP"= 17871:TCP:NortonAV
"12395:TCP"= 12395:TCP:NortonAV
"16830:TCP"= 16830:TCP:NortonAV
"18327:TCP"= 18327:TCP:NortonAV
"16804:TCP"= 16804:TCP:NortonAV
"18693:TCP"= 18693:TCP:NortonAV
"16211:TCP"= 16211:TCP:NortonAV
"15449:TCP"= 15449:TCP:NortonAV
"16453:TCP"= 16453:TCP:NortonAV
"16633:TCP"= 16633:TCP:NortonAV
"13882:TCP"= 13882:TCP:NortonAV
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01/08/2005 15:37 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01/08/2005 15:37 5248]
R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [22/07/2008 09:01 151592]
R2 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [25/06/2005 14:41 15840]
S1 46809ef5;46809ef5;c:\windows\system32\drivers\46809ef5.sys [24/05/2009 22:35 0]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HPService REG_MULTI_SZ HPSLPSVC
.
Contenu du dossier 'Tâches planifiées'
2009-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2006-04-03 c:\windows\Tasks\Invite de commandes.job
- c:\windows\system32\cmd.exe [2005-03-16 02:33]
2006-04-03 c:\windows\Tasks\Winamp.job
- c:\progra~1\Winamp\winamp.exe [2005-11-15 19:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: e&xporter vers microsoft excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-30 23:00
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(772)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2556)
c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTsvcCDA.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
c:\windows\RTHDCPL.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Heure de fin: 2009-12-30 23:05:32 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-30 22:05
Avant-CF: 53 489 209 344 octets libres
Après-CF: 53 447 000 064 octets libres
- - End Of File - - 1A7D7454245EEA000B8FF137D5200525
voici le scan combofix :
ComboFix 09-12-29.06 - rj 30/12/2009 22:46:42.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1668 [GMT 1:00]
Lancé depuis: c:\documents and settings\rj\Bureau\combofix.exe
Commutateurs utilisés :: c:\documents and settings\rj\Bureau\CFScript.txt
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
FILE ::
"c:\windows\isRS-000.tmp"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\isRS-000.tmp
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-30 ))))))))))))))))))))))))))))))))))))
.
2009-12-29 22:48 . 2009-12-29 22:48 -------- d-----w- c:\program files\D-Link
2009-12-29 22:48 . 2009-12-29 22:48 -------- d-----w- c:\documents and settings\rj\Application Data\InstallShield
2009-12-29 21:54 . 2009-12-29 22:23 -------- d-----w- C:\asdehi
2009-12-29 20:19 . 2009-12-29 20:45 -------- d-----w- c:\program files\Ad-Remover
2009-12-29 18:52 . 2009-12-29 19:32 -------- d-----w- C:\UsbFix
2009-12-29 16:21 . 2009-12-29 16:21 -------- d-----w- c:\program files\Chec
2009-12-29 16:14 . 2009-12-29 16:14 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-12-29 13:07 . 2009-12-29 13:45 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- c:\program files\trend micro
2009-12-29 12:42 . 2009-12-29 12:43 -------- d-----w- C:\rsit
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-30 21:52 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCStateBkp-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-30 21:52 . 2009-04-19 15:06 384 ----a-w- c:\windows\system32\DVCState-{00000005-00000000-00000000-00001102-00000004-20021102}.dat
2009-12-30 19:54 . 2008-08-27 22:56 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-30 13:38 . 2008-06-24 10:36 -------- d-----w- c:\program files\MPlayer for Windows
2009-12-30 12:26 . 2008-08-27 22:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-29 22:49 . 2009-12-29 22:49 -------- d-----w- c:\program files\ANI
2009-12-29 22:49 . 2005-04-13 08:53 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-29 21:49 . 2009-10-03 20:12 -------- d-----w- c:\documents and settings\rj\Application Data\HPAppData
2009-12-29 21:12 . 2009-05-25 11:09 -------- d-----w- c:\program files\Navilog1
2009-12-29 16:48 . 2009-05-24 21:35 0 ----a-w- c:\windows\system32\drivers\46809ef5.sys
2009-12-28 18:59 . 2008-06-14 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-12-03 15:14 . 2009-01-05 17:51 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-01-05 17:51 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-22 18:29 . 2009-11-22 18:29 -------- d-----w- c:\program files\Veetle
2009-11-17 20:31 . 2005-03-16 09:17 76136 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-17 20:31 . 2005-03-16 09:17 469622 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-10 11:59 . 2009-11-10 11:56 -------- d-----w- c:\documents and settings\rj\Application Data\HP
2009-11-10 11:59 . 2009-11-10 11:23 167395 ----a-w- c:\windows\hpoins30.dat
2009-11-10 11:59 . 2009-08-27 14:01 -------- d-----w- c:\program files\HP
2009-11-10 11:51 . 2009-08-27 14:03 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2009-11-10 11:51 . 2009-11-10 11:51 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-11-10 11:25 . 2009-11-10 11:25 -------- d-----w- c:\program files\Hewlett-Packard
2009-10-11 17:49 . 2005-06-25 13:02 65752 ----a-w- c:\documents and settings\rj\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2009-06-02 21:01 . 2009-06-02 21:01 20480 --sha-w- c:\windows\system32\1041y.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reminder.exe"="c:\windows\reminder\fsc-reminder.exe" [2005-01-19 28672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-14 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-07-24 148776]
"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 139264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"CTHelper"="CTHELPER.EXE" [2003-10-06 24576]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-06-11 153136]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-02 5964800]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-17 45056]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\rj\Menu D‚marrer\Programmes\D‚marrage\
WkCalRem.LNK - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe [2004-7-12 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13472:TCP"= 13472:TCP:NortonAV
"17102:TCP"= 17102:TCP:NortonAV
"13303:TCP"= 13303:TCP:NortonAV
"12300:TCP"= 12300:TCP:NortonAV
"16649:TCP"= 16649:TCP:NortonAV
"15406:TCP"= 15406:TCP:NortonAV
"14539:TCP"= 14539:TCP:NortonAV
"14590:TCP"= 14590:TCP:NortonAV
"14785:TCP"= 14785:TCP:NortonAV
"12124:TCP"= 12124:TCP:NortonAV
"13695:TCP"= 13695:TCP:NortonAV
"16003:TCP"= 16003:TCP:NortonAV
"13040:TCP"= 13040:TCP:NortonAV
"17871:TCP"= 17871:TCP:NortonAV
"12395:TCP"= 12395:TCP:NortonAV
"16830:TCP"= 16830:TCP:NortonAV
"18327:TCP"= 18327:TCP:NortonAV
"16804:TCP"= 16804:TCP:NortonAV
"18693:TCP"= 18693:TCP:NortonAV
"16211:TCP"= 16211:TCP:NortonAV
"15449:TCP"= 15449:TCP:NortonAV
"16453:TCP"= 16453:TCP:NortonAV
"16633:TCP"= 16633:TCP:NortonAV
"13882:TCP"= 13882:TCP:NortonAV
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01/08/2005 15:37 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01/08/2005 15:37 5248]
R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [22/07/2008 09:01 151592]
R2 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [25/06/2005 14:41 15840]
S1 46809ef5;46809ef5;c:\windows\system32\drivers\46809ef5.sys [24/05/2009 22:35 0]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
HPService REG_MULTI_SZ HPSLPSVC
.
Contenu du dossier 'Tâches planifiées'
2009-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2006-04-03 c:\windows\Tasks\Invite de commandes.job
- c:\windows\system32\cmd.exe [2005-03-16 02:33]
2006-04-03 c:\windows\Tasks\Winamp.job
- c:\progra~1\Winamp\winamp.exe [2005-11-15 19:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: e&xporter vers microsoft excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\documents and settings\rj\Application Data\Mozilla\Firefox\Profiles\98xuolx2.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-30 23:00
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(772)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2556)
c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTsvcCDA.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
c:\windows\RTHDCPL.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Heure de fin: 2009-12-30 23:05:32 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-30 22:05
Avant-CF: 53 489 209 344 octets libres
Après-CF: 53 447 000 064 octets libres
- - End Of File - - 1A7D7454245EEA000B8FF137D5200525
re
merci beaucoup à toi et à combofix car apparemment l'ordinateur est sain !!!
le rapport MBR :
" Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK "
( MBR m'a sorti ça dès le premier scan, ça a duré quelques secondes à peine ... )
j'ai du ré-installer mes drivers Wifii (par USB) mais à part ça nickel.
je coche la case problème résolu ...
++
merci beaucoup à toi et à combofix car apparemment l'ordinateur est sain !!!
le rapport MBR :
" Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK "
( MBR m'a sorti ça dès le premier scan, ça a duré quelques secondes à peine ... )
j'ai du ré-installer mes drivers Wifii (par USB) mais à part ça nickel.
je coche la case problème résolu ...
++
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
3 janv. 2010 à 13:21
3 janv. 2010 à 13:21
voila le rapport usb fix après l'option 2 "suppression"
############################## | UsbFix V6.068 |
User : rj (Administrateurs) # NOM-E60BD234BD5
Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
Start at: 12:47:37 | 03/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 186,31 Go (47,52 Go free) [420785 cdor] # NTFS
D:\ -> Disque CD-ROM # 35,36 Mo (0 Mo free) [DWA-110 FR] # CDFS
E:\ -> Disque fixe local # 465,76 Go (402,67 Go free) [Nouveau nom] # NTFS
F:\ -> Disque amovible # 1,89 Go (512,61 Mo free) [MORSAY] # FAT32
G:\ -> Disque amovible # 3,68 Go (47,59 Mo free) [IPOD (REMI] # FAT32
J:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 504
C:\WINDOWS\system32\csrss.exe 732
C:\WINDOWS\system32\winlogon.exe 772
C:\WINDOWS\system32\services.exe 816
C:\WINDOWS\system32\lsass.exe 828
C:\WINDOWS\system32\Ati2evxx.exe 996
C:\WINDOWS\system32\svchost.exe 1028
C:\WINDOWS\system32\svchost.exe 1104
C:\WINDOWS\System32\svchost.exe 1148
C:\WINDOWS\system32\svchost.exe 1248
C:\WINDOWS\system32\Ati2evxx.exe 1272
C:\WINDOWS\system32\svchost.exe 1360
C:\WINDOWS\system32\spoolsv.exe 1696
C:\WINDOWS\system32\svchost.exe 1768
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe 1804
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1816
C:\Program Files\Bonjour\mDNSResponder.exe 1836
C:\WINDOWS\system32\CTsvcCDA.exe 1856
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 1952
C:\WINDOWS\Explorer.EXE 544
C:\WINDOWS\system32\svchost.exe 564
C:\WINDOWS\system32\svchost.exe 576
C:\Program Files\Java\jre6\bin\jqs.exe 1232
C:\WINDOWS\System32\svchost.exe 1328
C:\WINDOWS\System32\svchost.exe 1548
C:\WINDOWS\system32\svchost.exe 1524
C:\WINDOWS\system32\wdfmgr.exe 1948
C:\WINDOWS\system32\MsPMSPSv.exe 2012
C:\WINDOWS\system32\wuauclt.exe 1592
C:\WINDOWS\system32\wbem\wmiprvse.exe 2104
################## | Elements infectieux |
Supprimé ! C:\DOCUME~1\REMIJA~1\Bureau\u95.exe
Supprimé ! C:\Recycler\S-1-5-21-4024459051-191397108-588666201-1006
Supprimé ! C:\System Volume Information\_restore{82229A3E-B49D-4F97-87AB-795160EADA09}\RP1197\A0251751.cmd
Supprimé ! C:\System Volume Information\_restore{82229A3E-B49D-4F97-87AB-795160EADA09}\RP1197\A0251751.cmd
Non supprimé ! D:\autorun.inf
Supprimé ! E:\Recycler\S-1-5-21-4024459051-191397108-588666201-1006
Supprimé ! E:\Recycler\S-1-5-21-4024459051-191397108-588666201-500
F:\autorun.inf -> fichier appelé : "F:\EXPLORER.EXE" ( Présent ! )
Supprimé ! F:\EXPLORER.EXE
Supprimé ! F:\.\recycled\info.exe
Supprimé ! F:\adober.exe
Supprimé ! F:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\EXPLORER.EXE" ( Absent ! )
G:\autorun.inf -> fichier appelé : "G:\EXPLORER.EXE" ( Absent ! )
Supprimé ! G:\.\recycled\info.exe
Supprimé ! G:\adober.exe
Supprimé ! G:\RavMonLog
Supprimé ! G:\autorun.inf
################## | Registre |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Mountpoints2 |
################## | Listing des fichiers présent |
[29/12/2009 21:57|--a------|3655] C:\Ad-Report-SCAN[1].log
[13/04/2005 09:34|--a------|0] C:\AUTOEXEC.BAT
[25/06/2005 14:02|--ahs----|216] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[02/01/2010 18:02|--a------|14534] C:\ComboFix.txt
[13/04/2005 09:34|--a------|0] C:\CONFIG.SYS
[29/12/2009 22:12|--a------|3223] C:\fixnavi.txt
[?|?|?] C:\hiberfil.sys
[13/04/2005 09:34|-rahs----|0] C:\IO.SYS
[13/04/2005 09:34|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[07/11/2008 00:02|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[11/10/2009 18:52|--a------|3380] C:\rapport.txt
[03/01/2010 12:52|--a------|4296] C:\UsbFix.txt
[01/01/1601 01:00|-r-h-----|6148] D:\.DS_Store
[01/01/1601 01:00|-r-------|549374] D:\autorun.exe
[01/01/1601 01:00|-r-------|47] D:\autorun.inf
[27/01/2009 16:25|---hs----|348160] F:\msvcr71.dll
[23/11/2008 22:17|--a------|19433] G:\Mad Men_2x13_HDTV.en.zip
[14/06/2008 20:21|--a------|19516] G:\Nouveau Document WordPad.doc
[02/07/2008 20:58|--ah-----|4096] G:\._.Trashes
[30/10/2008 19:08|--ah-----|4096] G:\._?
[23/11/2008 22:20|--a------|40785] G:\serpico-1cd.rar
[02/07/2008 20:58|--ah-----|82] G:\._iPod_Control
[29/12/2009 20:19|--a------|3236] G:\BOOTEX.LOG
[02/07/2008 20:58|--ah-----|43301] G:\.VolumeIcon.icns
[02/07/2008 20:58|--ah-----|82] G:\._.VolumeIcon.icns
[05/12/2008 15:12|--a------|6256] G:\recette backenhofen.txt
[02/06/2009 23:32|--a------|4597760] G:\Common ft Dwele - The People (Prod. By Kanye West).mp3
[04/01/2007 13:12|--a------|36808256] G:\iTunesSetup.exe
[13/04/2008 23:44|---hs----|348160] G:\msvcr71.dll
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
################## | Crack > Keygen > Serial |
"C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe"
04/06/2004 19:40 |Size 78662 |Crc32 801742be |Md5 c0ba1e1f50d3f738d04053629ae7635c
"C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : WindowsXP Product Key Viewer.exe
"C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : XPProCorp-keyChanger.exe
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\RJ~1\Bureau\UsbFix_Upload_Me_NOM-E60BD234BD5.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.068 ! |
############################## | UsbFix V6.068 |
User : rj (Administrateurs) # NOM-E60BD234BD5
Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
Start at: 12:47:37 | 03/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 186,31 Go (47,52 Go free) [420785 cdor] # NTFS
D:\ -> Disque CD-ROM # 35,36 Mo (0 Mo free) [DWA-110 FR] # CDFS
E:\ -> Disque fixe local # 465,76 Go (402,67 Go free) [Nouveau nom] # NTFS
F:\ -> Disque amovible # 1,89 Go (512,61 Mo free) [MORSAY] # FAT32
G:\ -> Disque amovible # 3,68 Go (47,59 Mo free) [IPOD (REMI] # FAT32
J:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 504
C:\WINDOWS\system32\csrss.exe 732
C:\WINDOWS\system32\winlogon.exe 772
C:\WINDOWS\system32\services.exe 816
C:\WINDOWS\system32\lsass.exe 828
C:\WINDOWS\system32\Ati2evxx.exe 996
C:\WINDOWS\system32\svchost.exe 1028
C:\WINDOWS\system32\svchost.exe 1104
C:\WINDOWS\System32\svchost.exe 1148
C:\WINDOWS\system32\svchost.exe 1248
C:\WINDOWS\system32\Ati2evxx.exe 1272
C:\WINDOWS\system32\svchost.exe 1360
C:\WINDOWS\system32\spoolsv.exe 1696
C:\WINDOWS\system32\svchost.exe 1768
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe 1804
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1816
C:\Program Files\Bonjour\mDNSResponder.exe 1836
C:\WINDOWS\system32\CTsvcCDA.exe 1856
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 1952
C:\WINDOWS\Explorer.EXE 544
C:\WINDOWS\system32\svchost.exe 564
C:\WINDOWS\system32\svchost.exe 576
C:\Program Files\Java\jre6\bin\jqs.exe 1232
C:\WINDOWS\System32\svchost.exe 1328
C:\WINDOWS\System32\svchost.exe 1548
C:\WINDOWS\system32\svchost.exe 1524
C:\WINDOWS\system32\wdfmgr.exe 1948
C:\WINDOWS\system32\MsPMSPSv.exe 2012
C:\WINDOWS\system32\wuauclt.exe 1592
C:\WINDOWS\system32\wbem\wmiprvse.exe 2104
################## | Elements infectieux |
Supprimé ! C:\DOCUME~1\REMIJA~1\Bureau\u95.exe
Supprimé ! C:\Recycler\S-1-5-21-4024459051-191397108-588666201-1006
Supprimé ! C:\System Volume Information\_restore{82229A3E-B49D-4F97-87AB-795160EADA09}\RP1197\A0251751.cmd
Supprimé ! C:\System Volume Information\_restore{82229A3E-B49D-4F97-87AB-795160EADA09}\RP1197\A0251751.cmd
Non supprimé ! D:\autorun.inf
Supprimé ! E:\Recycler\S-1-5-21-4024459051-191397108-588666201-1006
Supprimé ! E:\Recycler\S-1-5-21-4024459051-191397108-588666201-500
F:\autorun.inf -> fichier appelé : "F:\EXPLORER.EXE" ( Présent ! )
Supprimé ! F:\EXPLORER.EXE
Supprimé ! F:\.\recycled\info.exe
Supprimé ! F:\adober.exe
Supprimé ! F:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\EXPLORER.EXE" ( Absent ! )
G:\autorun.inf -> fichier appelé : "G:\EXPLORER.EXE" ( Absent ! )
Supprimé ! G:\.\recycled\info.exe
Supprimé ! G:\adober.exe
Supprimé ! G:\RavMonLog
Supprimé ! G:\autorun.inf
################## | Registre |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
################## | Mountpoints2 |
################## | Listing des fichiers présent |
[29/12/2009 21:57|--a------|3655] C:\Ad-Report-SCAN[1].log
[13/04/2005 09:34|--a------|0] C:\AUTOEXEC.BAT
[25/06/2005 14:02|--ahs----|216] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[02/01/2010 18:02|--a------|14534] C:\ComboFix.txt
[13/04/2005 09:34|--a------|0] C:\CONFIG.SYS
[29/12/2009 22:12|--a------|3223] C:\fixnavi.txt
[?|?|?] C:\hiberfil.sys
[13/04/2005 09:34|-rahs----|0] C:\IO.SYS
[13/04/2005 09:34|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[07/11/2008 00:02|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[11/10/2009 18:52|--a------|3380] C:\rapport.txt
[03/01/2010 12:52|--a------|4296] C:\UsbFix.txt
[01/01/1601 01:00|-r-h-----|6148] D:\.DS_Store
[01/01/1601 01:00|-r-------|549374] D:\autorun.exe
[01/01/1601 01:00|-r-------|47] D:\autorun.inf
[27/01/2009 16:25|---hs----|348160] F:\msvcr71.dll
[23/11/2008 22:17|--a------|19433] G:\Mad Men_2x13_HDTV.en.zip
[14/06/2008 20:21|--a------|19516] G:\Nouveau Document WordPad.doc
[02/07/2008 20:58|--ah-----|4096] G:\._.Trashes
[30/10/2008 19:08|--ah-----|4096] G:\._?
[23/11/2008 22:20|--a------|40785] G:\serpico-1cd.rar
[02/07/2008 20:58|--ah-----|82] G:\._iPod_Control
[29/12/2009 20:19|--a------|3236] G:\BOOTEX.LOG
[02/07/2008 20:58|--ah-----|43301] G:\.VolumeIcon.icns
[02/07/2008 20:58|--ah-----|82] G:\._.VolumeIcon.icns
[05/12/2008 15:12|--a------|6256] G:\recette backenhofen.txt
[02/06/2009 23:32|--a------|4597760] G:\Common ft Dwele - The People (Prod. By Kanye West).mp3
[04/01/2007 13:12|--a------|36808256] G:\iTunesSetup.exe
[13/04/2008 23:44|---hs----|348160] G:\msvcr71.dll
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
################## | Crack > Keygen > Serial |
"C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe"
04/06/2004 19:40 |Size 78662 |Crc32 801742be |Md5 c0ba1e1f50d3f738d04053629ae7635c
"C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : WindowsXP Product Key Viewer.exe
"C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip"
-> Contain : XPProCorp-keyChanger.exe
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\RJ~1\Bureau\UsbFix_Upload_Me_NOM-E60BD234BD5.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.068 ! |
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
3 janv. 2010 à 19:50
3 janv. 2010 à 19:50
et le AD Cleaner :
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 26.12.2009 à 20:47
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:23:03, 03/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: NOM-E60BD234BD5 | Utilisateur actuel: rj
Bonnes fêtes de fin d'année à vous tous :)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
(!) -- Fichiers temporaires supprimés.
.
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.6 [fr] *
.
Nom du profil: 98xuolx2.default (remi jacquet)
.
(RJ~1, prefs.js) Browser.download.dir, C:\Documents and Settings\rj\Bureau
(RJ~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\rj\Bureau
(RJ~1, prefs.js) Browser.search.defaultenginename, Google
(RJ~1, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(RJ~1, prefs.js) Browser.search.selectedEngine, Google
(RJ~1, prefs.js) Extensions.enabledItems, {3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091119W,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,jqs@sun.com:1.0,{5B52016C-D097-4aec-BE61-9F129D8FDDBA}:2.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.6
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Use Search Asst: no
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\rj\Bureau\bureau habituel\Medieval total war cd1 & cd2 + manual & no cd\medieval total war 1.1 patch.exe
C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip
C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe
.
===================================
.
3043 Octet(s) - C:\Ad-Report-CLEAN[1].log
3655 Octet(s) - C:\Ad-Report-SCAN[1].log
.
0 Fichier(s) - C:\DOCUME~1\RJ~1\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 13:24:48 | 03/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 26.12.2009 à 20:47
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:23:03, 03/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: NOM-E60BD234BD5 | Utilisateur actuel: rj
Bonnes fêtes de fin d'année à vous tous :)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
(!) -- Fichiers temporaires supprimés.
.
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.6 [fr] *
.
Nom du profil: 98xuolx2.default (remi jacquet)
.
(RJ~1, prefs.js) Browser.download.dir, C:\Documents and Settings\rj\Bureau
(RJ~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\rj\Bureau
(RJ~1, prefs.js) Browser.search.defaultenginename, Google
(RJ~1, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(RJ~1, prefs.js) Browser.search.selectedEngine, Google
(RJ~1, prefs.js) Extensions.enabledItems, {3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091119W,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,jqs@sun.com:1.0,{5B52016C-D097-4aec-BE61-9F129D8FDDBA}:2.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.6
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Use Search Asst: no
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\rj\Bureau\bureau habituel\Medieval total war cd1 & cd2 + manual & no cd\medieval total war 1.1 patch.exe
C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack xp sp1 fr.zip
C:\Documents and Settings\rj\Bureau\bureau habituel\trucs et choses\Mega reinstallation\crack.exe
.
===================================
.
3043 Octet(s) - C:\Ad-Report-CLEAN[1].log
3655 Octet(s) - C:\Ad-Report-SCAN[1].log
.
0 Fichier(s) - C:\DOCUME~1\RJ~1\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 13:24:48 | 03/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
3 janv. 2010 à 21:11
3 janv. 2010 à 21:11
navilog :
Fix Navipromo version 4.0.6 commencé le 03/01/2010 21:09:33,26
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : BIOS Date: 11/26/08 18:02:39 Ver: 08.00.14
USER : rj ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:186 Go (Free:46 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:465 Go (Free:402 Go)
G:\ (USB) - FAT32 - Total:3763 Mo (Free:0 Go)
J:\ (CD or DVD)
Recherche executée en mode normal
[b]Aucune Infection Navipromo/Egdaccess trouvée/b
*** Scan terminé 03/01/2010 21:10:02,28 ***
Fix Navipromo version 4.0.6 commencé le 03/01/2010 21:09:33,26
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : BIOS Date: 11/26/08 18:02:39 Ver: 08.00.14
USER : rj ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:186 Go (Free:46 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:465 Go (Free:402 Go)
G:\ (USB) - FAT32 - Total:3763 Mo (Free:0 Go)
J:\ (CD or DVD)
Recherche executée en mode normal
[b]Aucune Infection Navipromo/Egdaccess trouvée/b
*** Scan terminé 03/01/2010 21:10:02,28 ***
Bonsoir
1)Installe IE8 même si tu ne l'utilises pas (correction de failles de sécurité sur IE7)
2)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles
---> Télécharge Toolscleaner sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista)pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
3)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections
Voila c'est fini
@+
1)Installe IE8 même si tu ne l'utilises pas (correction de failles de sécurité sur IE7)
2)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles
---> Télécharge Toolscleaner sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista)pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
3)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections
Voila c'est fini
@+
algore666
Messages postés
9
Date d'inscription
mardi 29 décembre 2009
Statut
Membre
Dernière intervention
5 janvier 2010
5 janv. 2010 à 14:41
5 janv. 2010 à 14:41
c'est fait !!
merci pour tout et encore bonne année 2010 .
++
merci pour tout et encore bonne année 2010 .
++