

sleepy
Membres-
Compteur de contenus
26 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par sleepy
-
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Bon voilà, j'en ai terminé avec Ccleaner... Combofix a été désinstallé. Autre chose? J'attends toujours vos propositions en ce qui concerne les firewall. J'avais zone alarm pro, mais bon, il était cracké par un ami ... j'préfère plus y toucher, d'autant plus qu'il commençait à me bloquer certains programmes ... En ce qui concerne la nouveauté 'wipe free space': ici Certes, c'est en anglais, mais c'est simple à comprendre x) En tout cas, tout est rentrée dans l'ordire, merci pour tout. -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Bonjour à toi pear, Juste par mégarde, dans Ccleaner, je coche toutes les cases dans l'onglet windows? Même mes raccourcis, les caches d'arrangement du menu, enfin tout ce que j'ai personnalisé? :(je cherche juste à m'assurer ) Il y a aussi une case nommé 'wipe free space': j'ai fait quelques recherches et j'ai vu beaucoup de choses pas net dessus. Et le registren on y touche pas? Voila, j'espère ne pas être trop méfiant en posant ces questions. Ah, et aussi, comment on efface combofix? Il me semble qu'il faut aller dans 'exécuter' taper quelque chose pour pouvoir l'effacer correctement (d'après ce que j'ai vu sur d'autres topic). Encore merci pour tout. -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Bon matin, Alors, tous les fichiers infectés que antivir a trouvé ont été déplacés en quarantaine. Combofix n'a même pas été trouvé (je pense que c'est à cause de son nom: keke.exe ). Voici le rapport tant attendu de antivir: Avira AntiVir Personal Date de création du fichier de rapport : jeudi 12 mars 2009 02:27 La recherche porte sur 1294756 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 2) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur :049142220150 Informations de version : BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 00:04:36 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11/03/2009 00:04:38 ANTIVIR3.VDF : 7.1.2.158 22016 Bytes 11/03/2009 00:04:39 Version du moteur: 8.2.0.109 AEVDF.DLL : 8.1.1.0 106868 Bytes 12/03/2009 00:04:46 AESCRIPT.DLL : 8.1.1.60 360826 Bytes 12/03/2009 00:04:45 AESCN.DLL : 8.1.1.8 127346 Bytes 12/03/2009 00:04:44 AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38 AEPACK.DLL : 8.1.3.10 397686 Bytes 12/03/2009 00:04:44 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 12/03/2009 00:04:43 AEHEUR.DLL : 8.1.0.104 1634679 Bytes 12/03/2009 00:04:42 AEHELP.DLL : 8.1.2.2 119158 Bytes 12/03/2009 00:04:40 AEGEN.DLL : 8.1.1.27 336244 Bytes 12/03/2009 00:04:40 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56 AECORE.DLL : 8.1.6.6 176501 Bytes 12/03/2009 00:04:39 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Sélection de fichiers intelligente Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : jeudi 12 mars 2009 02:27 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunes.exe' - '1' module(s) sont contrôlés Processus de recherche 'wltuser.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'soundman.exe' - '1' module(s) sont contrôlés Processus de recherche 'point32.exe' - '1' module(s) sont contrôlés Processus de recherche 'AOSD.EXE' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'vsnpstd2.exe' - '1' module(s) sont contrôlés Processus de recherche 'ABOARD.EXE' - '1' module(s) sont contrôlés Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés Processus de recherche 'mdm.exe' - '1' module(s) sont contrôlés Processus de recherche 'libusbd-nt.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'HidService.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'ANIWZCSdS.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'StyleXPService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '44' processus ont été contrôlés avec '44' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [iNFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. Secteur d'amorçage maître HD2 [iNFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. Secteur d'amorçage maître HD3 [iNFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. Secteur d'amorçage maître HD4 [iNFO] Aucun virus trouvé ! [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt. La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '85' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <HDD> C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\Program Files\Tweak-XP Pro 4\tweak-xp.exe.BAK [RESULTAT] Contient le modèle de détection du ver WORM/Spybot.1917952 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1d685c.qua' ! C:\Qoobox\Quarantine\C\Program Files\MSN Messenger\msnmsgr.exe.vir [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.aoq [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a266bbf.qua' ! C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP883\A0292433.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.aoq [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea6bb8.qua' ! C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292513.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.aoq [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea6bc2.qua' ! C:\WINDOWS\system32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'D:\' <DATA> D:\Documents and Settings\Papa\Local Settings\Temp\Temporary Internet Files\Content.IE5\RJWRYZ6M\WHCC2[1].exe [0] Type d'archive: RAR SFX (self extracting) --> whAgent.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Web.381.5.C --> whSurvey.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Web.381.5.B --> webhdll.dll [RESULTAT] Contient le cheval de Troie TR/Drop.Web.381.5.A [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49fb705a.qua' ! D:\Documents and Settings\user.049142220150\Mes documents\Liwa PELAYO\Tweak XP pro\Patch 02.exe [RESULTAT] Contient le cheval de Troie TR/Keygen.Q.20 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a2c74d1.qua' ! D:\Documents and Settings\Warren\Local Settings\Temp\cd4E.tmp.exe [RESULTAT] Contient le modèle de détection du dropper DR/Shopper.K.18 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ec76cf.qua' ! D:\Documents and Settings\Warren\Local Settings\Temp\Temporary Internet Files\Content.IE5\83MXKR2D\zpopup[1].cgi [RESULTAT] Contient le modèle de détection de l'exploit EXP/UrlSpoof.D [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a27773b.qua' ! D:\Documents and Settings\Warren\Mes documents\Logiciels privés\Adobe photoshop CS2\TPhotoshop\Keygen Photoshop CS2 Fr.exe [RESULTAT] Contient le modèle de détection du ver WORM/Autorun.cxl [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a317bd9.qua' ! D:\Documents and Settings\Warren\Mes documents\Logiciels privés\AVG anti-virus\AVG Antivirus 7.1.362a652+Firewall Multilanguage+Keygen.rar [0] Type d'archive: RAR --> Keygen.exe [RESULTAT] Contient le cheval de Troie TR/Spirt.8 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ff7be2.qua' ! D:\Documents and Settings\Warren\Mes documents\Logiciels privés\AVG anti-virus\Keygen.exe [RESULTAT] Contient le cheval de Troie TR/Spirt.8 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a317bf6.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP883\A0292442.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.aoq [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c45.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292468.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c4b.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292487.exe [RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c4f.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292488.exe [RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c52.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292498.exe [RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c54.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292499.exe [RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c57.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292503.exe [RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c5a.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292504.exe [RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c5c.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP885\A0292505.exe [RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c60.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP891\A0296309.exe [0] Type d'archive: RAR SFX (self extracting) --> whAgent.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Web.381.5.C --> whSurvey.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Web.381.5.B --> webhdll.dll [RESULTAT] Contient le cheval de Troie TR/Drop.Web.381.5.A [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c67.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP891\A0296310.exe [RESULTAT] Contient le modèle de détection du dropper DR/Shopper.K.18 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c6a.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP891\A0296311.exe [RESULTAT] Contient le modèle de détection du ver WORM/Autorun.cxl [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c6f.qua' ! D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP891\A0296312.exe [RESULTAT] Contient le cheval de Troie TR/Spirt.8 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ea7c72.qua' ! Fin de la recherche : jeudi 12 mars 2009 04:06 Temps nécessaire: 1:39:36 Heure(s) La recherche a été effectuée intégralement 14669 Les répertoires ont été contrôlés 536873 Des fichiers ont été contrôlés 28 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 24 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 536843 Fichiers non infectés 10521 Les archives ont été contrôlées 6 Avertissements 24 Consignes Voilà, on remarque qu'il en a trouvé, des sales bêtes. Bon sur ce, je pars au lit. A tout à l'heure pour de nouvelles aventures. -
[résolu] Problème de connexion internet suite à une infection bagle
sleepy a répondu à un(e) sujet de sleepy dans Internet & Réseaux
Booonnn... Cette fois-ci, c'est la bonne: le problème à été résolu. En effet, le problème venait de l'antivirus et du firewall: ils ont été infecté par le virus bagle, et provoquaient des 'perturbations' à la connexion internet. Il suffisait alors de désinstaller ces programmes à partir de panneau de configuration et tout est réglé. Merci à Qc001 (eh oui, encore) pour avoir trouvé l'origine du problème. -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Oui, en effet, pas gentil x) Bon je suis en plein scan sur antivir; Si t'es toujours la, j'ai une question: j'en fais quoi des fichers infectés, ils ont été mis en quarantaine sur un dossier Qoobox sur C: par un programme (combofix je crois), je le met en quarantaine avec antivir ou je les supprime? -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
En effet: C'est un pote qui s'est occupé de mon pc, a savoir sécurité et software. Et la, avec les.log, j'ai vu qu'il y avait des keygens et toute les choses qui faut pas : maintenant, je sais ce que je dois éradiquer ce petit malin en plus. Et puis il me semble que le nod32 qui m'a installé n'est pas la bonne version: il s'agissait de la version windows 95/98 -_- Bah au moins, je refais un peu le pc. Le rapport viendra bientôt. -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Enfin, je peux accéder au net, et même au délà de 3~4 minutes ! Merci à toi Qc001 Je vais de ce pas télécharger antivir. Par contre, je vais pas me rejouir trop vite, on sait jamais. Bref, je posterai le rapport plus tard, et j'attendrai tes propositions de firewall. ;D Merci à vous, Qc001 et pear. -
[résolu] Problème de connexion internet suite à une infection bagle
sleepy a répondu à un(e) sujet de sleepy dans Internet & Réseaux
Rebonsoir, Ma joie n'a été que de courte durée (très court même): En effet, la connexion ne fonctionne que quelques minutes après le démarrage du pc (ou le redémarrage), passé ce délai, plus rien ne fonctionne... La connexion wiFi à bien été réparé (il détecte la boite et s'y connecte). On a tenté plusieurs manipulations dans l'autre topic (suis sympa, je vous donne le lien encore une fois ) mais on n'a pas trouvé de solutions. Je sollicite donc (à nouveau?) votre aide pour trouver solution à mon problème. REmerci d'avance. x) -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
J'ai vérifié la valeur start, et il est déjà en valeur '3'. Donc, en gros, je n'ai plus de malware sévère dans le PC? le problème ne serait plus que la connexion réseau? Pourtant, mon antivirus et mon firewall (Nod et Zone alarm) ne démarre pas, n'apparaissent pas dans les notifications, mais sont bien là dans le processus actifs quand je tente de les exécuter. Bon, à part sa, je vais de ce pas dans l'autre topic (ici) -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Je pense qu'il y a plusieurs bêtes dans ma machine, car avant de demander votre aide, j'ai passé un scan en ligne (sur pandasecurity) et j'ai remarqué de nombreux bagles. Bref, j'ai effectué le scan FindyKill et il y a eu des messages comme quoi il n'y pas de disque (mais je pense que c'est normal: il parlait des disques amovibles?) Bref, voici le rapport: ############################## [ FindyKill V4.719 ] # User : user () # 049142220150 # Update on 06/03/09 by Chiquitine29 # Start at: 23:09:38 | 11/03/2009 # AMD Athlon 64 Processor 3400+ # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2 # Internet Explorer 7.0.5730.11 # Windows Firewall Status : Disabled # AV : NOD32 Antivirus System 2.50 2.50 [ Enabled | Updated ] # FW : ZoneAlarm Pro Firewall[ Enabled ]7.0.462.000 # C:\ # Disque fixe local # 29,99 Go (10,57 Go free) [HDD] # NTFS # D:\ # Disque fixe local # 150,3 Go (85,31 Go free) [DATA] # NTFS # E:\ # Disque CD-ROM # F:\ # Disque CD-ROM # G:\ # Disque amovible # H:\ # Disque amovible # I:\ # Disque amovible # J:\ # Disque amovible # K:\ # Disque CD-ROM # L:\ # Disque amovible # 492,37 Mo (484,48 Mo free) [iPOD] # FAT32 ############################## [ Processus actifs ] C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\libusbd-nt.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\apps\ABoard\ABoard.exe C:\WINDOWS\vsnpstd2.exe C:\apps\ABoard\AOSD.exe C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\wmiprvse.exe ################## [ Fichiers / Dossiers infectieux C:\ ] ################## [ C:\WINDOWS ] ################## [ C:\WINDOWS\system32 ] ################## [ C:\WINDOWS\system32\drivers ] ################## [ C:\.. Application Data ... ] Found ! - "D:\Documents and Settings\user.049142220150\Application Data\drivers" ################## [ Registre / Clés infectieuses ] Found ! - HKEY_USERS\S-1-5-21-1051259033-3857280643-94663787-1006\Software\Local AppWizard-Generated Applications\key_gen Found ! - HKEY_USERS\S-1-5-21-1051259033-3857280643-94663787-1006\Software\Local AppWizard-Generated Applications\winupgro Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_gen Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro ################## [ Recherche dans supports amovibles] # Presence des fichiers : ################## [ Registre / Mountpoint2 ] # -> Not found ! ################## [ ! Fin du rapport # FindyKill V4.719 ! ] -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
En effet, la manipulation que tu m'as indiqué à bien fonctionné... pendant quelques minutes seulement. J'ai pu me balader sur le net quelques instants (j'ai reussi à atteindre Zebulon.fr par exemple x)) mais après quelques temps, la connexion ne marche plus En fait, c'est exactement la même chose que tout à l'heure après que l'on ait reussi à régler les problemes wifi: ça fonctionne quelques minutes et puis ensuite, plus rien ... -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Rebonsoir Qc001, En mode sans échec? x) En tout cas, en mode normal, tout est ok, le type de démarrage est automatique et le service est démarré. Par contre, j'ai remarqué qu'il y a du nouveau: Quand je tente de réparer ma carte réseau, il indique que le TCP/IP n'est pas connecté. -Je regarde dans propriétés, le protocole n'est pas installé. -Je tente d'installer 'client', et voici ce qu'il m'indique: En gros, il ne trouve pas de pilote pour ce périphérique. -j'ai essayé d'installer 'service' et 'protocole' mais sa ne change pas grand chose, si ce n'est d'étendre la liste ... -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Rerebonsoir, Bon, apparemment, la connexion est à moitié complet: en effet, la connexion wiFi est rétabli (il est bien connecté à mon box, mais je ne peux toujours pas me connecter sur le net. Il y a toujours le problème de la carte réseau, à savoir le le TCP/IP qui n'est pas activé. Finalement, le topic que j'ai crée dans le forum internet & réseaux va peut etre servir à quelque chose ... :0 -
[résolu] Problème de connexion internet suite à une infection bagle
sleepy a répondu à un(e) sujet de sleepy dans Internet & Réseaux
Salut fifi29, Bon, déjà merci pour ton intervention, mais finalement, le problème à été résolu à partir de l'autre topic xD J'ai simplement utilisé le .bat et le .reg de pear en mode sans échec (merci à Qc001 de m'avoir rappelé ce mode) et ma connexion à redémarré comme si de rien était. -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Bonsoir à toi Sc001, Je viens de réessayer la manipulation en mode sans échec (sans prise en charge du réseau) et en effet, sa a fonctionné. Faut dire que j'ai complétement zappé ce mode (j'ai l'air idiot d'un coup, j'ai fait perdre du temps à un de vos élites). Bref, merci pour ton intervention, on va pouvoir continuer là où nous nous sommes arrêtés. Par contre, j'ai déjà commencé à polluer le forum internet et réseau. x) S'il est possible d'effacer mon topic je vous serai reconnaissant. Ou alors je mets [résolu] sur le titre? pear, déja excuse moi de mon incompétence. xD Bref, je m'apprête à reprendre le message n°4, c'est à dire le scan en ligne de chez Kapersky. Je posterai le rapport dans quelques minutes. -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
En effet, cela n'a rien changé, et l'erreur est toujours là. -
[résolu] Problème de connexion internet suite à une infection bagle
sleepy a posté un sujet dans Internet & Réseaux
Bonsoir, Suite à une infection sur mon PC fixe (je suis actuellement sur mon PC portable), je n'arrive plus à me connecter sur le net: en effet, avec les conseils avisés de pear, nous avons nettoyé un certain bagle grâce à combofix. (pour plus de détails, allez dans le topic ici ;D) Après le redémarrage de mon PC, la connexion à cessé de fonctionner: j'ai evidement tenté de réparer la connexion sans fil mais windows n'arrive pas à se connecter 'au réseau sans fil'. J'ai tenté de réparer ma carte réseau mais Apparement le 'TCP/IP n'est pas activé pour cette connexion'. Notons également que dans services.msc, le service configuration automatique sans fil ne se démarre pas automatiquement, et dés que je tente de le démarrer, il m'affiche ceci: Le FAI n'a pas de problème (je l'utilise actuellement avec mon PC portable en Wifi), et donc la boite non plus. Inutile de préciser que j'ai besoin de votre aide (si? ) J'espere pouvoir régler ce problème rapidement, et pouvoir poursuivre les étapes qui me reste sur l'autre topic ;D Merci d'avance. -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
xD Je n'avais même pas remarqué que l'infection à été nettoyé. Et les étapes précédentes? notamment le scan en ligne, mais aussi mes antivirus qui ne s'ouvre toujours pas? (zone alarm pro et nod32) Néanmoins, le centre de sécurité est à nouveau opérationnel (avant le nettoyage, 'pare-feu' 'mise a jour automatiques' et 'protection antivirus' n'apparraissait pas). Profitons aussi pour dire qu'il indique que le pare feu, et la protection antivirus sont activés. Derniere chose, l'erreur 1068 concernait le service 'configuration sans fil': Quand je démarre le service, il m'indique ceci: Bon, en tout cas, merci pour votre aide, je vais de ce pas faire ce que vous m'aviez conseillé. Par contre, dés que j'aurai rétabli la connexion, je pense que l'on va reprendre la où nous nous sommes arretés. Merci encore et à bientot (sur le forum internet et réseaux ) -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Oui, il est bien installé; Dans l'onglet général, 'obtenir une adresse IP automatiquement est coché; Dans l'onglet configuration automatique 'addresse IP privée automatique est coché. :/ -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Malheureusement, la réparation du wifi n'a pas fonctionné Quand je tente de réparer ma connexion sans fil, je bloque toujours à à l'opération 'connexion au réseau sans fil'. Néamoins, quand je tente de réparer ma connexion 1394 (la carte réseau), elle m'indique que l'opération qui n'a pas été menée à bien concerne le TCP/IP: on me dit qu'il n'est pas activé pour cette connexion. Peut-être que cela a un lien avec le problème évoqué? -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Bonsoir, Vu que je n'ai pas le Cd XP, où pourrais-je m'en procurer 1? Est-il possible de le trouver sur le net et de le graver sur un cd vierge? -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Bonjour, La désinstallation de Norton s'est passé sans problème: on peut même dire que c'était presque inutile car il etait deja désinstallé sauf quelques dossiers symantec par ci par la ainsi que 2 clés de registre effacés. Par contre, je n'arrive toujours pas à me connecter sur internet à partir du pc infecté Je tiens à rappeler que ma connexion internet fonctionne bien (je l'utilise d'ailleurs avec mon pc portable en wifi) Le problème ne vient pas d'internet mais de la connexion sans fil: elle n'est pas et ne veut pas se connecter depuis le 1er redémarrage de combofix (pour le premier .log). Elle ne detecte aucun réseau car 'il ne peut pas configurer cette connexion sans fil'. J'utilise un programme fourni avec la clé wiFi (D-Link Wireless DWA-110) et détecte ma boite, mais ne veut pas se connecter. J'ai evidement fait toutes vos solutions proposés (internet explorer était deja au niveau par défaut, il n'est pas bloqué). Et comme je ne peux pas accéder à internet, pas de scan en ligne -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
J'ai effectué la première partie de ce que vous m'aviez demandé (ComboFix). J'ai obtenu le .log, que je m'apprete à poster. Neamoins, je ne peux pas aller plus loin, car le PC infecté ne peut pas se connecter sur le net depuis 1er redémarrage de combofix. (votre premier post) Voici le rapport: ComboFix 09-03-06.02 - user 2009-03-10 23:04:48.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1023.628 [GMT 1:00] Lancé depuis: d:\documents and settings\user.049142220150\Bureau\keke.exe Commutateurs utilisés :: d:\documents and settings\user.049142220150\Bureau\CFScript.txt AV: NOD32 Antivirus System 2.50 *On-access scanning enabled* (Updated) AV: Norton Internet Security *On-access scanning enabled* (Outdated) FW: Norton Internet Security *enabled* FW: ZoneAlarm Pro Firewall *enabled* * Un nouveau point de restauration a été créé * Resident AV is active FILE :: c:\program files\Bonjour\mDNSResponder.exe c:\windows\system32\GameMon.des c:\windows\system32\ijjiSetup.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\Bonjour\mDNSResponder.exe c:\windows\system32\GameMon.des c:\windows\system32\ijjiSetup.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-10 au 2009-03-10 )))))))))))))))))))))))))))))))))))) . 2009-03-10 23:09 . 2009-03-10 23:09 <REP> d-------- c:\windows\LastGood 2009-03-09 23:30 . 2009-03-09 23:30 <REP> d-------- d:\documents and settings\Maman.049142220150\Tracing 2009-03-09 02:43 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-03-09 02:42 . 2009-03-09 02:42 <REP> d-------- c:\program files\Panda Security 2009-03-09 01:47 . 2009-03-09 01:47 <REP> d-------- c:\program files\PC Inspector File Recovery 2009-03-09 01:47 . 2002-02-18 18:40 6,200 --a------ c:\windows\system32\INT13EXT.VXD 2009-03-09 01:31 . 2009-03-09 18:24 <REP> d--h----- d:\documents and settings\user.049142220150\Application Data\drivers 2009-03-06 20:54 . 2009-03-06 20:54 <REP> d-------- c:\program files\Veoh Networks 2009-02-26 21:20 . 2009-03-08 21:09 <REP> d-------- d:\documents and settings\user.049142220150\Tracing 2009-02-26 21:18 . 2009-02-26 21:18 <REP> d-------- c:\program files\Microsoft Sync Framework 2009-02-26 21:16 . 2009-02-26 21:16 <REP> d-------- c:\program files\Microsoft 2009-02-26 21:15 . 2009-02-26 21:15 <REP> d-------- c:\program files\Windows Live SkyDrive 2009-02-26 21:09 . 2009-02-26 21:09 <REP> d-------- c:\program files\Fichiers communs\Windows Live 2009-02-12 03:03 . 2009-02-12 03:03 1,374 --a------ c:\windows\imsins.BAK . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-10 22:04 --------- d-----w c:\program files\Bonjour 2009-03-09 17:25 --------- d-----w c:\program files\MSN Messenger 2009-03-09 16:00 --------- d-----w d:\documents and settings\All Users\Application Data\TrackMania 2009-03-09 00:47 --------- d--h--w c:\program files\InstallShield Installation Information 2009-03-09 00:23 --------- d-----w c:\program files\eMule 2009-03-09 00:06 --------- d-----w d:\documents and settings\user.049142220150\Application Data\uTorrent 2009-03-08 23:21 --------- d-----w d:\documents and settings\user.049142220150\Application Data\mIRC 2009-03-08 00:06 --------- d-----w c:\program files\mIRC 2009-03-06 17:01 --------- d-----w c:\program files\Tweak-XP Pro 4 2009-02-26 20:19 --------- d-----w c:\program files\Windows Live 2009-02-24 16:11 --------- d-----w c:\program files\DivX 2009-02-18 18:49 --------- d-----w c:\program files\Mozilla Thunderbird 2009-02-12 02:04 --------- d-----w d:\documents and settings\All Users\Application Data\Microsoft Help 2009-02-08 15:32 --------- d-----w c:\program files\Messenger Plus! Live 2009-02-07 12:49 --------- d-----w c:\program files\Fichiers communs\Adobe 2009-01-31 15:13 --------- d-----w c:\program files\CCleaner 2005-10-29 13:04 67,590 ----a-w c:\program files\runme.bat 2006-05-06 16:42 7,260,160 ----a-w c:\program files\mozilla firefox\plugins\libvlc.dll . ((((((((((((((((((((((((((((( SnapShot@2009-03-09_18.36.57.45 ))))))))))))))))))))))))))))))))))))))))) . + 2009-03-10 22:07:46 16,384 ----atw c:\windows\temp\Perflib_Perfdata_620.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576] "SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-08-30 286720] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608] "IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-24 217088] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\program files\QuickTime Alternative\QTTask.exe" [2008-11-04 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088] "ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [bU] "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [bU] "Autoconfigurateur WiFi Neuf"="c:\program files\Neuf\Kit\WiFi\9wifi.exe" [bU] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [bU] "nod32kui"="c:\program files\Eset\nod32kui.exe" [2006-06-13 917504] "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="c:\program files\TGTSoft\StyleXP\Logon\CurrentLogon.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mpegacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\mpegacm.acm "VIDC.VP40"= vp4vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AWMON] --a------ 2005-05-25 11:12 517632 c:\program files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] c:\program files\MSN Messenger\msnmsgr.exe [bU] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui] --a------ 2006-06-13 17:34 917504 c:\program files\Eset\nod32kui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client] --a------ 2007-12-13 19:27 919016 c:\program files\Zone Labs\ZoneAlarm\zlclient.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\\AOL 9.0\\aol.exe"= "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"= "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\eMule\\emule.exe"= "d:\\Documents and Settings\\user.049142220150\\Mes documents\\Liwa PELAYO\\µTorrent 1.5.1 Build 464 Beta [Par Ratiatum.com].exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "27888:TCP"= 27888:TCP:FEAR R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-09 28544] R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?] R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-10-19 799744] R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [2008-01-22 33792] S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [2005-05-11 52384] S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\system32\drivers\k600mdfl.sys [2005-05-11 6096] S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\system32\drivers\k600mdm.sys [2005-05-11 87456] S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;c:\windows\system32\drivers\k600mgmt.sys [2005-05-11 79248] S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\system32\drivers\k600obex.sys [2005-05-11 77072] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-02 195752] S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\drivers\WlanUZXP.sys [2005-07-13 260608] S3 XDva120;XDva120;\??\c:\windows\system32\XDva120.sys --> c:\windows\system32\XDva120.sys [?] S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5327cbfc-c061-11dc-8fd2-0060b355e8c8}] \Shell\AutoRun\command - K:\setupSNK.exe . Contenu du dossier 'Tâches planifiées' 2009-03-05 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2006-06-01 c:\windows\Tasks\Rappel d'enregistrement 1.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00] . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-msnmsgr - c:\program files\MSN Messenger\msnmsgr.exe . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html LSP: imon.dll FF - ProfilePath - d:\documents and settings\user.049142220150\Application Data\Mozilla\Firefox\Profiles\7h6goop6.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - DAEMON Search FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiFFPlugin1.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin2.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin3.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin4.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin5.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin6.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin7.dll FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-10 23:13:26 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,3a,03,49,3f,bd, 33,ff,f2,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,39,5e,1b,26,29, 92,47,ed,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,7b,e1,28,ba,f7, 1c,59,3f,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,1b,d1,bb,f7,39, 26,84,68,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,17,f7,06,eb,bb, f9,a2,4f,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,5b,9a,12,c5,fb, c7,9d,31,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,47,ed,5c,15,01, 3a,f0,25,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "1d68fe701cdea33e477eb204b76f993d"=hex:aa,52,c6,00,84,3c,26,64,e0,71,55,c7,35, 9d,5f,fc,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,e4,95,c1,d6,b0, 50,d0,a9,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "f5f62a6129303efb32fbe080bb27835b"=hex:37,a4,aa,c3,a6,15,56,0a,26,22,ae,39,2d, 82,2d,5f,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d9,13,50,bc,39, 74,98,61,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,f3,2c,b5,fb,3d, 23,7d,9c,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*] "5E7CEC10DF0760D4F8DAFB12FDC06CCD"="" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(744) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(804) c:\windows\system32\imon.dll c:\program files\Eset\pr_imon.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\TGTSoft\StyleXP\StyleXPService.exe c:\program files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\apps\HIDSERVICE\HidService.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\libusbd-nt.exe c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\wbem\wmiapsrv.exe c:\apps\ABOARD\AOSD.EXE c:\program files\iPod\bin\iPodService.exe . ************************************************************************** . Heure de fin: 2009-03-10 23:16:03 - La machine a redémarré ComboFix-quarantined-files.txt 2009-03-10 22:15:43 ComboFix2.txt 2009-03-09 17:41:19 Avant-CF: 11 988 905 984 octets libres Après-CF: 11,991,404,544 octets libres 293 --- E O F --- 2009-03-09 17:32:34 -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
NB: comment fermer mon antivirus? ComboFix détecte 2 scanneurs en temps réel actifs: Norton internet security et Nod32 antivirus system 2.50. J'ai normalement désinstallé Norton depuis bien longtemps, et nod32 n'apparait pas dans les notifications (en bas à droite) ni même dans les processus actifs du gestionnaire des tâches de windows. J'ai nié ce message pour le premier .log de combofix, et ceci n'a entrainé aucun problème (si ce n'est la connexion qui ne marche plus sur le PC infecté). Cela n'entraine-t-il pas des résultats differents? -
[résolu] Problème winupgro
sleepy a répondu à un(e) sujet de sleepy dans Analyses et éradication malwares
Bonjour, Tout, j'aimerais remercier pear pour ta reactivité Et je m'excuse de la mienne Bon, j'ai fait ce que vous m'aviez indiqué (combofix et tout), malheureusement, ma connexion internet ne marche plus Je suis en wifi, et detecte bien ma boite, mais ne veux pas se connecter. J'ai appelé mon fai, et il me dit de mettre a jour quelque chose .. en effet, dans services.msc, 'configuration automatique sans fil' est arrété, et quand je le démarre, il m'affiche l'erreur 1068. Bref, je suis actuellement dans mon ordi portable, et j'ai transféré le ficher .log de combofix, en esperant bien sur que sa soit toujours utile. Voici le rapport: ComboFix 09-03-06.02 - user 2009-03-09 18:23:25.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1023.641 [GMT 1:00] Lancé depuis: d:\documents and settings\user.049142220150\Bureau\keke.exe Commutateurs utilisés :: d:\documents and settings\user.049142220150\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe AV: NOD32 Antivirus System 2.50 *On-access scanning enabled* (Updated) AV: Norton Internet Security *On-access scanning enabled* (Outdated) FW: Norton Internet Security *enabled* FW: ZoneAlarm Pro Firewall *enabled* * Un nouveau point de restauration a été créé * Resident AV is active . ADS - svchost.exe: deleted 68 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\MSN Messenger\msnmsgr.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld d:\documents and settings\user.049142220150\Application Data\drivers\downld\130238796.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130244437.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130244453.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130290312.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130297453.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130306921.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130313921.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130326031.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130326390.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130334421.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130335078.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130335359.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130373187.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130375187.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130443296.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130444218.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130444515.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130672703.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130673703.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130674000.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130676968.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130678781.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130678875.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130687046.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130688796.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130698687.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130700015.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130700765.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130701421.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130702187.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130703046.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130724687.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130725203.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130725765.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130745656.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130745828.exe d:\documents and settings\user.049142220150\Application Data\drivers\downld\130745859.exe d:\documents and settings\user.049142220150\Application Data\drivers\srosa2.sys d:\documents and settings\user.049142220150\Local Settings\Temporary Internet Files\ijjistarter_verinfo.dat . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SK9OU0S -------\Service_sK9Ou0s -------\Service_srosa ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-09 au 2009-03-09 )))))))))))))))))))))))))))))))))))) . 2009-03-09 18:31 . 2009-03-09 18:31 <REP> d-------- c:\windows\LastGood 2009-03-09 02:43 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-03-09 02:42 . 2009-03-09 02:42 <REP> d-------- c:\program files\Panda Security 2009-03-09 01:47 . 2009-03-09 01:47 <REP> d-------- c:\program files\PC Inspector File Recovery 2009-03-09 01:47 . 2002-02-18 18:40 6,200 --a------ c:\windows\system32\INT13EXT.VXD 2009-03-09 01:31 . 2009-03-09 18:24 <REP> d--h----- d:\documents and settings\user.049142220150\Application Data\drivers 2009-03-06 20:54 . 2009-03-06 20:54 <REP> d-------- c:\program files\Veoh Networks 2009-03-06 19:49 . 2009-02-17 01:42 2,741,114 --a------ c:\windows\system32\GameMon.des 2009-02-26 21:20 . 2009-03-08 21:09 <REP> d-------- d:\documents and settings\user.049142220150\Tracing 2009-02-26 21:18 . 2009-02-26 21:18 <REP> d-------- c:\program files\Microsoft Sync Framework 2009-02-26 21:16 . 2009-02-26 21:16 <REP> d-------- c:\program files\Microsoft 2009-02-26 21:15 . 2009-02-26 21:15 <REP> d-------- c:\program files\Windows Live SkyDrive 2009-02-26 21:09 . 2009-02-26 21:09 <REP> d-------- c:\program files\Fichiers communs\Windows Live 2009-02-14 11:15 . 2008-06-17 19:28 710,064 --a------ c:\windows\system32\ijjiSetup.exe 2009-02-12 03:03 . 2009-02-12 03:03 1,374 --a------ c:\windows\imsins.BAK . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-09 17:25 --------- d-----w c:\program files\MSN Messenger 2009-03-09 16:00 --------- d-----w d:\documents and settings\All Users\Application Data\TrackMania 2009-03-09 00:47 --------- d--h--w c:\program files\InstallShield Installation Information 2009-03-09 00:23 --------- d-----w c:\program files\eMule 2009-03-09 00:06 --------- d-----w d:\documents and settings\user.049142220150\Application Data\uTorrent 2009-03-08 23:21 --------- d-----w d:\documents and settings\user.049142220150\Application Data\mIRC 2009-03-08 00:06 --------- d-----w c:\program files\mIRC 2009-03-06 17:01 --------- d-----w c:\program files\Tweak-XP Pro 4 2009-02-26 20:19 --------- d-----w c:\program files\Windows Live 2009-02-24 16:11 --------- d-----w c:\program files\DivX 2009-02-18 18:49 --------- d-----w c:\program files\Mozilla Thunderbird 2009-02-12 02:04 --------- d-----w d:\documents and settings\All Users\Application Data\Microsoft Help 2009-02-08 15:32 --------- d-----w c:\program files\Messenger Plus! Live 2009-02-07 12:49 --------- d-----w c:\program files\Fichiers communs\Adobe 2009-01-31 15:13 --------- d-----w c:\program files\CCleaner 2005-10-29 13:04 67,590 ----a-w c:\program files\runme.bat 2006-05-06 16:42 7,260,160 ----a-w c:\program files\mozilla firefox\plugins\libvlc.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576] "SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-08-30 286720] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608] "IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-24 217088] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\program files\QuickTime Alternative\QTTask.exe" [2008-11-04 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088] "MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-05 160768] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="c:\program files\TGTSoft\StyleXP\Logon\CurrentLogon.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mpegacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\mpegacm.acm "VIDC.VP40"= vp4vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AWMON] --a------ 2005-05-25 11:12 517632 c:\program files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui] --a------ 2006-06-13 17:34 917504 c:\program files\Eset\nod32kui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP] --a------ 2006-05-24 19:31 1372160 c:\program files\TGTSoft\StyleXP\StyleXP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client] --a------ 2007-12-13 19:27 919016 c:\program files\Zone Labs\ZoneAlarm\zlclient.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\\AOL 9.0\\aol.exe"= "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"= "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\eMule\\emule.exe"= "d:\\Documents and Settings\\user.049142220150\\Mes documents\\Liwa PELAYO\\µTorrent 1.5.1 Build 464 Beta [Par Ratiatum.com].exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "27888:TCP"= 27888:TCP:FEAR R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-09 28544] R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?] R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-10-19 799744] R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [2008-01-22 33792] S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [2005-05-11 52384] S3 k600mdfl;Sony Ericsson 600i USB WMC Modem Filter;c:\windows\system32\drivers\k600mdfl.sys [2005-05-11 6096] S3 k600mdm;Sony Ericsson 600i USB WMC Modem Drivers;c:\windows\system32\drivers\k600mdm.sys [2005-05-11 87456] S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;c:\windows\system32\drivers\k600mgmt.sys [2005-05-11 79248] S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\system32\drivers\k600obex.sys [2005-05-11 77072] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-02 195752] S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;c:\windows\system32\drivers\WlanUZXP.sys [2005-07-13 260608] S3 XDva120;XDva120;\??\c:\windows\system32\XDva120.sys --> c:\windows\system32\XDva120.sys [?] S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?] S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] --- Autres Services/Pilotes en mémoire --- *NewlyCreated* - PAVBOOT [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5327cbfc-c061-11dc-8fd2-0060b355e8c8}] \Shell\AutoRun\command - K:\setupSNK.exe . Contenu du dossier 'Tâches planifiées' 2009-03-05 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2006-06-01 c:\windows\Tasks\Rappel d'enregistrement 1.job - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00] . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-ATIPTA - c:\ati technologies\ATI Control Panel\atiptaxx.exe HKLM-Run-NeroFilterCheck - c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe HKLM-Run-Autoconfigurateur WiFi Neuf - c:\program files\Neuf\Kit\WiFi\9wifi.exe HKLM-Run-ATICCC - c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe MSConfigStartUp-msnmsgr - c:\program files\MSN Messenger\msnmsgr.exe . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html LSP: imon.dll FF - ProfilePath - d:\documents and settings\user.049142220150\Application Data\Mozilla\Firefox\Profiles\7h6goop6.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - DAEMON Search FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiFFPlugin1.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin2.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin3.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin4.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin5.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin6.dll FF - plugin: c:\program files\QuickTime Alternative\Plugins\npqtplugin7.dll FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-09 18:35:51 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,3a,03,49,3f,bd, 33,ff,f2,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,39,5e,1b,26,29, 92,47,ed,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,7b,e1,28,ba,f7, 1c,59,3f,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,1b,d1,bb,f7,39, 26,84,68,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,17,f7,06,eb,bb, f9,a2,4f,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,5b,9a,12,c5,fb, c7,9d,31,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,47,ed,5c,15,01, 3a,f0,25,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "1d68fe701cdea33e477eb204b76f993d"=hex:aa,52,c6,00,84,3c,26,64,e0,71,55,c7,35, 9d,5f,fc,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,e4,95,c1,d6,b0, 50,d0,a9,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "f5f62a6129303efb32fbe080bb27835b"=hex:37,a4,aa,c3,a6,15,56,0a,26,22,ae,39,2d, 82,2d,5f,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,d9,13,50,bc,39, 74,98,61,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\\WINDOWS\\system32\\OLE32.DLL" "8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,f3,2c,b5,fb,3d, 23,7d,9c,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*] "5E7CEC10DF0760D4F8DAFB12FDC06CCD"="" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(748) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(804) c:\windows\system32\imon.dll c:\program files\Eset\pr_imon.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\TGTSoft\StyleXP\StyleXPService.exe c:\program files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\apps\HIDSERVICE\HidService.exe c:\windows\system32\libusbd-nt.exe c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe c:\windows\system32\PnkBstrA.exe c:\apps\ABOARD\AOSD.EXE c:\program files\iPod\bin\iPodService.exe . ************************************************************************** . Heure de fin: 2009-03-09 18:41:18 - La machine a redémarré ComboFix-quarantined-files.txt 2009-03-09 17:41:16 Avant-CF: 12 226 441 216 octets libres Après-CF: 12,073,226,240 octets libres 329 --- E O F --- 2009-03-09 17:32:34 Voila