PC infecté : demande de nettoyage / désinfection

[ricadette]

me revoilààààà...

 

kaspersky ne veut toujours rien savoir :P mais quelle galère!!!

pourtant j'ai desinstallé les restes...

 

En plus j'ai passé 2 heures à chercher ma clé que j'utilise trèèèèèèèèèès fréquemment!!!

De toutes les façons va falloir que je refasse tout ça avec mon portable parceque j'utilise ma clé dessus en général!!

Donc... des virus là dessus aussi

Mais bon je me sens entre de bonnes mains :P

 

 

Bref...les 2 rapports demandés:

 

LOOK:

 

 

! REG.EXE VERSION 3.0

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile

<SANS NOM> REG_SZ Fichier script VBScript

FriendlyTypeName REG_EXPAND_SZ @%SystemRoot%\System32\wshext.dll,-4802

DefaultIcon REG_SZ shell32.dll,2

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon

<SANS NOM> REG_EXPAND_SZ %SystemRoot%\System32\WScript.exe,2

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\ScriptEngine

<SANS NOM> REG_SZ VBScript

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\ScriptHostEncode

<SANS NOM> REG_SZ {85131631-480C-11D2-B1F9-00C04F86C324}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit

<SANS NOM> REG_SZ &Modifier

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command

<SANS NOM> REG_EXPAND_SZ %SystemRoot%\System32\Notepad.exe %1

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open

<SANS NOM> REG_SZ &Ouvrir

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command

<SANS NOM> REG_EXPAND_SZ %SystemRoot%\System32\WScript.exe "%1" %*

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2

<SANS NOM> REG_SZ Ou&vrir avec l'Invite de commandes

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2\Command

<SANS NOM> REG_EXPAND_SZ %SystemRoot%\System32\CScript.exe "%1" %*

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Print

<SANS NOM> REG_SZ &Imprimer

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Print\Command

<SANS NOM> REG_EXPAND_SZ %SystemRoot%\System32\Notepad.exe /p %1

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\ShellEx

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\ShellEx\DropHandler

<SANS NOM> REG_SZ {60254CA5-953B-11CF-8C96-00AA00B8708C}

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\ShellEx\PropertySheetHandlers

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\ShellEx\PropertySheetHandlers\WSHProps

<SANS NOM> REG_SZ {60254CA5-953B-11CF-8C96-00AA00B8708C}

 

 

 

COMBO:

 

ComboFix 08-02.05.3 - Marie 2008-02-09 0:37:06.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.273 [GMT 1:00]

Endroit: C:\Documents and Settings\Marie\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-09 00:31 . 2004-08-20 00:09 400,896 --a------ C:\kmd.exe

2008-02-09 00:04 . 2008-02-09 00:04 <REP> d-------- C:\Program Files\Kaspersky Lab

2008-02-08 07:21 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-07 12:22 . 2008-02-07 12:22 <REP> d-------- C:\WINDOWS\ERUNT

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Program Files\Avira

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-05 21:17 . 2008-02-05 21:17 <REP> d-------- C:\Program Files\Trend Micro

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-08 06:21 --------- d-----w C:\Program Files\Java

2008-02-05 06:43 --------- d-----w C:\Program Files\WindowsSA

2008-02-03 14:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-31 19:03 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-20 12:36 --------- d-----w C:\Documents and Settings\Marie\Application Data\AdobeUM

2008-01-05 10:48 3,478 --sha-r C:\WINDOWS\pagefile.sys.vbs

2008-01-05 10:48 3,478 --sha-r C:\pagefile.sys.vbs

2007-12-24 09:58 --------- d-----w C:\Documents and Settings\Marie\Application Data\Canon

2006-09-16 20:36 4,548,184 ----a-w C:\Program Files\MsgPlusLive-401.exe

2004-05-19 12:47 18,810,320 ----a-w C:\Program Files\AdbeRdr60_fra_full.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-07 20:23 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 15:28 790528]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 08:42 585728]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 09:04 3309568]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 09:04 46080]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50 155648]

"nwiz"="nwiz.exe" [2004-03-24 09:04 782336 C:\WINDOWS\system32\nwiz.exe]

"BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 16:16 376912]

"StandardInstall"="" []

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-11 14:03 180269]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-03-30 17:55 155648]

"Club-Internet_McciTrayApp"="C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe" [2005-06-02 16:42 543232]

"MSRegInfo"="C:\WINDOWS\pagefile.sys.vbs" [2008-01-05 11:48 3478]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 15:20 249896]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-11-26 13:38]

R3 DFE528TX;D-Link DFE-528TX PCI Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTL.SYS [2002-06-24 05:30]

S0 Klick;Klick;C:\WINDOWS\system32\drivers\klick.sys []

S0 Klin;Klin;C:\WINDOWS\system32\drivers\klin.sys []

S3 ids00026;ids00026;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys []

S3 ids0004C;ids0004C;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []

S3 ids0005c;ids0005c;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []

S3 SNCT511;VideoCAM Trek;C:\WINDOWS\system32\DRIVERS\snct511.sys [2005-02-03 15:22]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81dbebc8-66b3-11dc-a498-0050ba2e8018}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9448092a-acab-11dc-a51e-0050ba2e8018}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d35a1e23-e440-11db-a3f6-0050ba2e8018}]

\Shell\AutoRun\command - I:\autorun.exe

\Shell\explore\Command - I:\autorun.exe -e

\Shell\open\Command - I:\autorun.exe

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-09 00:38:08

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-02-09 0:38:53

ComboFix-quarantined-files.txt 2008-02-08 23:38:37

ComboFix2.txt 2008-02-08 23:34:51

ComboFix3.txt 2008-02-08 22:52:36

ComboFix4.txt 2008-02-08 18:23:38

.

2008-01-26 19:20:43 --- E O F ---

 

 

et puis 1 petit hijack...

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:41:25, on 09/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Marie\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe

O4 - HKLM\..\Run: [MSRegInfo] C:\WINDOWS\pagefile.sys.vbs

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{22AF19EB-2D81-4C02-ADD4-2DC66CA006E1}: NameServer = 194.117.200.10,194.117.200.15

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - http://www.linkelink.nl/images/wallpaper_w...aos_09_1024.jpg

 

--

End of file - 6347 bytes

 

C'est tout ce que je peux faire pour ce soir

big tx à toi!

alors bonne nuit

[Thanos]

ricadette...c'est pas pour être désagréable mais tu as relancé ComboFix sans utiliser le fichier CFScript.txt !! Là rien n'a été éliminé! Il faut que tu télécharges le fichier en question et que tu le fasses glisser sur le fichier ComboFix.exe comme montré dans la capture (relis bien). Recommence stp quand tu peux

Modifié le 8 février 2008 par charles ingals

[ricadette]

 

Mais tu n'es pas désagréable du tout, tu fais preuve d'une grande patience avec mon ignorance informaticienne

Et quelle efficacité surtout!!

Merci

Pour l'anecdote: J'ai rêvé cette nuit que j'étais rentré dans l'ordi et que je chassais les virus..genre Zelda (ben vi je fais le jeu sur wii en ce moment donc ceci explique cela )

 

Oui tu peux te moquer!!!!

 

 

Bref, voilà the last but not least report!!!

 

 

 

 

 

 

 

ComboFix 08-02.05.3 - Marie 2008-02-09 8:05:46.5 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.268 [GMT 1:00]

Endroit: C:\Documents and Settings\Marie\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Marie\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-01-09 to 2008-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-09 00:36 . 2004-08-20 00:09 400,896 --a------ C:\kmd.exe

2008-02-09 00:04 . 2008-02-09 00:04 <REP> d-------- C:\Program Files\Kaspersky Lab

2008-02-08 07:21 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-07 12:22 . 2008-02-07 12:22 <REP> d-------- C:\WINDOWS\ERUNT

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Program Files\Avira

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-05 21:17 . 2008-02-05 21:17 <REP> d-------- C:\Program Files\Trend Micro

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-08 06:21 --------- d-----w C:\Program Files\Java

2008-02-05 06:43 --------- d-----w C:\Program Files\WindowsSA

2008-02-03 14:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-31 19:03 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-20 12:36 --------- d-----w C:\Documents and Settings\Marie\Application Data\AdobeUM

2008-01-05 10:48 3,478 --sha-r C:\WINDOWS\pagefile.sys.vbs

2008-01-05 10:48 3,478 --sha-r C:\pagefile.sys.vbs

2007-12-24 09:58 --------- d-----w C:\Documents and Settings\Marie\Application Data\Canon

2006-09-16 20:36 4,548,184 ----a-w C:\Program Files\MsgPlusLive-401.exe

2004-05-19 12:47 18,810,320 ----a-w C:\Program Files\AdbeRdr60_fra_full.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-07 20:23 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 15:28 790528]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 08:42 585728]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 09:04 3309568]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 09:04 46080]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50 155648]

"nwiz"="nwiz.exe" [2004-03-24 09:04 782336 C:\WINDOWS\system32\nwiz.exe]

"BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 16:16 376912]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-11 14:03 180269]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-03-30 17:55 155648]

"Club-Internet_McciTrayApp"="C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe" [2005-06-02 16:42 543232]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 15:20 249896]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-11-26 13:38]

R3 DFE528TX;D-Link DFE-528TX PCI Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTL.SYS [2002-06-24 05:30]

S0 Klick;Klick;C:\WINDOWS\system32\drivers\klick.sys []

S0 Klin;Klin;C:\WINDOWS\system32\drivers\klin.sys []

S3 ids00026;ids00026;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys []

S3 ids0004C;ids0004C;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []

S3 ids0005c;ids0005c;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []

S3 SNCT511;VideoCAM Trek;C:\WINDOWS\system32\DRIVERS\snct511.sys [2005-02-03 15:22]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-09 08:07:22

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-02-09 8:08:08

ComboFix-quarantined-files.txt 2008-02-09 07:07:51

ComboFix2.txt 2008-02-08 23:38:54

ComboFix3.txt 2008-02-08 23:34:51

ComboFix4.txt 2008-02-08 22:52:36

ComboFix5.txt 2008-02-08 18:23:38

.

2008-01-26 19:20:43 --- E O F ---

[Thanos]

salut

 

la Zelda du malware !

Ok, seule une partie du malware a été éliminée: on va donc faire comme ceci pour éliminer les fichiers incriminés >

 

1) Passe par le menu Démarrer > Panneau de configuration > Ajouter/Supprimer des Programmes et recherche puis désinstalle Kaspersky Anti-Virus Personal (la procédure que tu as suivi n'a pas fonctionné!)

 

2) De nouveau tu vas télécharger sur le bureau le même script: ne l'utilise pas encore à ce stade.

 

3) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/9qiv0m

pour cela, clique sur le lien en bas de page > Download Link: CFScript

 

4) Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].

Choisis ton compte usuel, et non Administrateur. En images ici > http://cybersecurite.xooit.com/t88-Demarre...-sans-echec.htm

 

5) Utilisation du script en mode sans échec >

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

6) Redémarre ton pc normalement et poste le rapport généré stp: dis moi si tu n'as pas réussi à désinstaller Kaspersky

[ricadette]

 

Salut,

 

Pour kaspersky...cela fait bien longtemps que je l'avais désinstallé!!

malheureusement les restes sont apparemment présents , d'autant plus que si je lance une recherche ..aucune trace!

 

il n'est plus nulle part dans ajouter/supprimer...

 

???

[Thanos]

re!

 

Ok pas grave pour Kaspersky: on va le désinstaller grace à ComboFix.

Le script à utiliser n'est plus le même du coup: suis exactement la manip ci-dessous, prend ton temps pour le faire >

 

1) Tu vas télécharger sur le bureau le script: ne l'utilise pas encore à ce stade.

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/rffxsp

pour cela, clique sur le lien en bas de page > Download Link: CFScript

 

2) Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].

Choisis ton compte usuel, et non Administrateur. En images ici > http://cybersecurite.xooit.com/t88-Demarre...-sans-echec.htm

 

3) Utilisation du script en mode sans échec >

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

4) Redémarre ton pc normalement et poste le rapport généré stp > C:\ComboFix.txt

[ricadette]

RE charles....

voici le rapport demandé

j'y vois encore kaspersky mentionné ....c'est mauvais signe hein???

 

biz

 

 

 

 

ComboFix 08-02.05.3 - Marie 2008-02-10 0:16:55.6 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.373 [GMT 1:00]

Endroit: C:\Documents and Settings\Marie\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Marie\Bureau\CFScript.txt

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE

C:\pagefile.sys.vbs

C:\WINDOWS\pagefile.sys.vbs

C:\WINDOWS\system32\drivers\klick.sys

C:\WINDOWS\system32\drivers\klin.sys

C:\WINDOWS\system32\drivers\klmc.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\pagefile.sys.vbs

C:\WINDOWS\pagefile.sys.vbs

C:\WINDOWS\system32\drivers\klmc.sys

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-09 to 2008-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-09 08:04 . 2004-08-20 00:09 400,896 --a------ C:\kmd.exe

2008-02-09 00:04 . 2008-02-09 00:04 <REP> d-------- C:\Program Files\Kaspersky Lab

2008-02-08 07:21 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-07 12:22 . 2008-02-07 12:22 <REP> d-------- C:\WINDOWS\ERUNT

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Program Files\Avira

2008-02-06 15:16 . 2008-02-06 15:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-05 21:17 . 2008-02-05 21:17 <REP> d-------- C:\Program Files\Trend Micro

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-08 06:21 --------- d-----w C:\Program Files\Java

2008-02-05 06:43 --------- d-----w C:\Program Files\WindowsSA

2008-02-03 14:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-31 19:03 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-20 12:36 --------- d-----w C:\Documents and Settings\Marie\Application Data\AdobeUM

2007-12-24 09:58 --------- d-----w C:\Documents and Settings\Marie\Application Data\Canon

2006-09-16 20:36 4,548,184 ----a-w C:\Program Files\MsgPlusLive-401.exe

2004-05-19 12:47 18,810,320 ----a-w C:\Program Files\AdbeRdr60_fra_full.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-07 20:23 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 15:28 790528]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 08:42 585728]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 09:04 3309568]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 09:04 46080]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 11:50 155648]

"nwiz"="nwiz.exe" [2004-03-24 09:04 782336 C:\WINDOWS\system32\nwiz.exe]

"BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 16:16 376912]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-11 14:03 180269]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-03-30 17:55 155648]

"Club-Internet_McciTrayApp"="C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe" [2005-06-02 16:42 543232]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 15:20 249896]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

 

S0 Klick;Klick;C:\WINDOWS\system32\drivers\klick.sys []

S0 Klin;Klin;C:\WINDOWS\system32\drivers\klin.sys []

S1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys []

S3 DFE528TX;D-Link DFE-528TX PCI Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTL.SYS [2002-06-24 05:30]

S3 ids00026;ids00026;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys []

S3 ids0004C;ids0004C;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0004C.sys []

S3 ids0005c;ids0005c;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0005c.sys []

S3 SNCT511;VideoCAM Trek;C:\WINDOWS\system32\DRIVERS\snct511.sys [2005-02-03 15:22]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-10 00:19:13

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-02-10 0:20:04

ComboFix-quarantined-files.txt 2008-02-09 23:19:43

ComboFix2.txt 2008-02-09 07:08:08

ComboFix3.txt 2008-02-08 23:38:54

ComboFix4.txt 2008-02-08 23:34:51

ComboFix5.txt 2008-02-08 22:52:36

.

2008-01-26 19:20:43 --- E O F ---

[ricadette]

Salut

 

antivir detecte le même virus que j'élimine systématiquement ...il revient ...

son nom: C:/system volum information\...\A1888943.com

 

Quelle est encore cet animal? pppffffffffffffffffffff...

 

Belle journée ensoleillée à tous

[Thanos]

salut

 

j'y vois encore kaspersky mentionné ....c'est mauvais signe hein???

Le script n'a pas éliminé les restes de Kaspersky mais c'est pas grave (il ne s'agit pas d'un malware!) On va faire autrement.

 

antivir detecte le même virus que j'élimine systématiquement ...il revient ... doh.gif

son nom: C:/system volum information\...\A1888943.com

C'est rien du tout il s'agit d'un point de restauration infecté: c'est une infection qui n'est pas active tant que tu n'utilise pas la restauration système. On va éliminer ce point en fin de désinfection en quelques clics.

 

Résultat positif! les fichiers infectieux ont bien été éliminés

 

On va faire un scan en ligne comme ceci (celui là ne devrait pas poser de problèmes) >

 

Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

• Il faut choisir Full Scan (et pas QuickScan) >
  
• Poste le rapport qu'il t'affichera à la fin.
  
• Note: Attention!! Panda et Antivir entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de scan après avoir sauvegardé le rapport)
   
  
• Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
   
  
• Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
  

[ricadette]

Re

Contente d'apprendre que la situation s'arrange un big merci

Je suis entrain de suivre la même procédure avec mon portable...je pense que la situation est moins grave !!!

 

je publierai le rapport hijack afin d'avoir tes lumières dessus, j'espère que je n'abuse pas trop

 

 

voilà le rapport de panda:

 

 

 

ANALYSIS: 2008-02-10 16:02:29

PROTECTIONS: 1

MALWARE: 36

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Avira AntiVir PersonalEdition 7.0.2.106

No Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00001888 adware/dyfuca Adware No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\internet optimizer

00020302 adware/ncase Adware No 0 Yes No hkey_current_user\software\microsoft\internet explorer\main\search page_bak

00020942 adware/exact.bargainbuddy Adware No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\bargainbuddy

00034463 adware/wupd Adware No 0 Yes No c:\program files\windupdates

00034463 adware/wupd Adware No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\wind updates

00039204 adware/cws Adware No 0 Yes No hkey_current_user\software\microsoft\internet explorer\main\start page_bak

00040297 adware/blazefind Adware No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\windows sr 2.0

00040297 adware/blazefind Adware No 0 Yes No hkey_classes_root\clsid\{14d2cffe-6656-4bec-8d9e-dde6f2d4eae5}

00040297 adware/blazefind Adware No 0 Yes No c:\program files\windowssa

00040297 adware/blazefind Adware No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{14d2cffe-6656-4bec-8d9e-dde6f2d4eae5}

00040297 adware/blazefind Adware No 0 Yes No hkey_local_machine\software\classes\windowssaband.winsaband

00040297 adware/blazefind Adware No 0 Yes No hkey_classes_root\bridgex.installer

00040297 adware/blazefind Adware No 0 Yes No hkey_classes_root\windowssaband.winsaband

00040297 adware/blazefind Adware No 0 Yes No hkey_classes_root\windowssaband.winsaband.1

00040297 adware/blazefind Adware No 0 Yes No HKEY_CLASSES_ROOT\Interface\{8c505a6b-124b-4768-8fd3-1a066c839848}

00040297 adware/blazefind Adware No 0 Yes No HKEY_CLASSES_ROOT\TypeLib\{0b3569d7-1ea4-4cba-ac13-225902619789}

00096718 adware/twain-tech Adware No 0 Yes No c:\windows\twaintec.ini

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.casalemedia.com/]

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.doubleclick.net/]

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.atdmt.com/]

00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Marie\Bureau\nettoyage pc\outil desinfection\SDFix\apps\Process.exe

00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Marie\Bureau\nettoyage pc\outil desinfection\SDFix.exe[sDFix\apps\Process.exe]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.tradedoubler.com/]

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.tradedoubler.com/]

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.247realmedia.com/]

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.247realmedia.com/]

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.mediaplex.com/]

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.xiti.com/]

00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.toplist.cz/]

00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.statcounter.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[ad.yieldmanager.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.serving-sys.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.serving-sys.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.serving-sys.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.serving-sys.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.serving-sys.com/]

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.serving-sys.com/]

00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.bs.serving-sys.com/]

00168095 Cookie/888 TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.888.com/]

00168095 Cookie/888 TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.888.com/]

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.weborama.fr/]

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.weborama.fr/]

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.weborama.fr/]

00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.adtech.de/]

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[fl01.ct2.comclick.com/]

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[fl01.ct2.comclick.com/]

00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[fl01.ct2.comclick.com/]

00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.advertising.com/]

00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.advertising.com/]

00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.advertising.com/]

00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.advertising.com/]

00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.overture.com/]

00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.realmedia.com/]

00170556 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.realmedia.com/]

00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.zedo.com/]

00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.bluestreak.com/]

00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.go.com/]

00207936 Cookie/Adviva TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.adviva.net/]

00219288 adware/clickalchemy Adware No 0 Yes No c:\windows\inf\alchem.inf

00219288 adware/clickalchemy Adware No 0 Yes No c:\windows\alchem.ini

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.smartadserver.com/]

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.smartadserver.com/]

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.smartadserver.com/]

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Marie\Application Data\Mozilla\Firefox\Profiles\5w0bibgw.default\cookies.txt[.smartadserver.com/]

01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1100\A1888775.EXE

01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{5E16ADCC-FDFD-4E34-9E5D-1816141F0604}\RP1101\A1888969.EXE

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\Nircmd.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Marie\Bureau\ComboFix.exe[327882R2FWJFW\nircmd.com]

01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Marie\Bureau\ComboFix.exe[327882R2FWJFW\nircmd.cfexe]

02896287 Trj/Clicker.AIL Virus/Trojan No 1 Yes No C:\QooBox\Quarantine\catchme2008-02-08_192239,14.zip[fak32.sys]

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================