Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Besoin d'aide pour une infection lourde et persistante ....

Sparfell

Par Sparfell
dans Analyses et éradication malwares

 Partager

Messages recommandés

Sparfell Mega Power Member

Sparfell

Posté(e)
  • Auteur
Posté(e)

Je n'ai pas réussi à terminer 2 résidents (aawservices.exe et avguard.exe) avant de faire les manips demandées, pour le reste ça a dû se faire dans les règles .

 

Voici le 1er rapport suite à installation de la console de récupération :

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP ?dition familiale" /fastdetect /NoExecute=OptIn

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

 

Et voilà le rapport final Combofix

ComboFix 08-04-24.1 - didi 2008-04-26 17:54:37.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.352 [GMT 2:00]

Endroit: C:\Documents and Settings\didi\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\Documents and Settings\anne paule\err.log

C:\Documents and Settings\didi\err.log

C:\WA6P

C:\WINDOWS\BM1f46d898.xml

C:\WINDOWS\cookies.ini

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\ablacyne.ini

C:\WINDOWS\system32\agltxktq.ini

C:\WINDOWS\system32\ainugxip.ini

C:\WINDOWS\system32\alpfouem.ini

C:\WINDOWS\system32\fbysoskt.ini

C:\WINDOWS\system32\fhdhtxry.ini

C:\WINDOWS\system32\fygautxk.ini

C:\WINDOWS\system32\fyrutepa.ini

C:\WINDOWS\system32\gkxelkqo.ini

C:\WINDOWS\system32\glhhqovt.ini

C:\WINDOWS\system32\gquygnwg.ini

C:\WINDOWS\system32\hnrasyxw.ini

C:\WINDOWS\system32\kkxnyexo.ini

C:\WINDOWS\system32\lhtbxsws.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\ngngvexy.ini

C:\WINDOWS\system32\pceqbqbs.ini

C:\WINDOWS\system32\pevluvhq.ini

C:\WINDOWS\system32\stera.log

C:\WINDOWS\system32\uyvxsyiy.ini

C:\WINDOWS\system32\xdyeonqu.ini

C:\WINDOWS\system32\ybhsvvbx.ini

C:\WINDOWS\tmlpwin.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_6TO4

-------\Legacy_VSPF

-------\Legacy_VSPF_HK

-------\Service_6to4

 

 

((((((((((((((((((((((((((((( Fichiers créés 2008-03-26 to 2008-04-26 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-26 12:47 . 2008-04-26 12:47 <REP> d-------- C:\_OTMoveIt

2008-04-26 11:21 . 2008-04-26 14:13 <REP> d-------- C:\Program Files\Navilog1

2008-04-25 19:01 . 2008-04-25 19:01 <REP> d-------- C:\Program Files\Avira

2008-04-24 14:22 . 2008-04-25 19:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-04-22 23:09 . 2008-04-22 23:09 <REP> d-------- C:\fsaua.data

2008-04-22 20:18 . 2008-04-22 20:18 <REP> d-------- C:\VundoFix Backups

2008-04-21 23:48 . 2008-04-21 23:48 153 --a------ C:\WINDOWS\wininit.ini

2008-04-21 22:52 . 2008-04-21 23:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-21 16:06 . 2008-04-21 16:06 <REP> d-------- C:\Program Files\Gazel-NT

2008-04-21 16:06 . 2004-07-13 15:32 199,216 --a------ C:\WINDOWS\system32\drivers\gserial.sys

2008-04-21 16:06 . 2003-09-11 09:01 122,976 --a------ C:\WINDOWS\system32\drivers\gisdngen.sys

2008-04-21 16:06 . 2003-11-06 15:29 97,024 --a------ C:\WINDOWS\system32\drivers\gisdnpnp.sys

2008-04-21 16:06 . 2003-09-10 09:55 90,112 --a------ C:\WINDOWS\system32\PROFIL32.dll

2008-04-21 16:06 . 2003-09-10 09:55 90,112 --a------ C:\WINDOWS\PROFIL32.dll

2008-04-21 16:06 . 2003-09-10 11:22 57,344 --a------ C:\WINDOWS\system32\gisdn.cpl

2008-04-21 16:06 . 2003-03-26 16:43 51,760 --a------ C:\WINDOWS\system32\drivers\Gcapi20.sys

2008-04-21 16:06 . 2002-12-19 14:26 49,152 --a------ C:\WINDOWS\system32\CAPI2032.DLL

2008-04-21 16:06 . 2002-12-19 14:26 49,152 --a------ C:\WINDOWS\CAPI2032.DLL

2008-04-21 16:06 . 2000-11-28 15:53 23,520 --a------ C:\WINDOWS\system32\drivers\gisdnwan.sys

2008-04-21 16:05 . 2008-04-21 16:05 <REP> d-------- C:\Documents and Settings\didi\WINDOWS

2008-04-17 20:47 . 2008-04-17 20:47 <REP> d-------- C:\Documents and Settings\didi\Application Data\Grisoft

2008-04-17 20:47 . 2008-04-17 20:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-04-17 20:47 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-04-17 20:40 . 2008-04-17 20:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-04-17 20:39 . 2008-04-17 20:39 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-04-12 20:28 . 2008-04-12 20:28 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes

2008-04-12 19:25 . 2008-04-12 19:25 <REP> d-------- C:\WINDOWS\ERUNT

2008-04-12 19:24 . 2008-04-21 21:56 <REP> d-------- C:\SDFix

2008-04-11 18:29 . 2008-04-11 18:29 <REP> d-------- C:\Program Files\Rockstar Games

2008-04-10 18:41 . 2008-04-11 15:18 1,230 ---hs---- C:\WINDOWS\system32\edrpposv.ini

2008-04-10 15:14 . 2008-04-10 15:14 938 ---hs---- C:\WINDOWS\system32\flsximts.ini

2008-04-09 20:20 . 2008-04-10 14:57 878 ---hs---- C:\WINDOWS\system32\kkwlkpch.ini

2008-04-09 19:10 . 2008-04-09 20:08 758 ---hs---- C:\WINDOWS\system32\utgsbhtg.ini

2008-04-09 19:02 . 2008-04-09 19:02 526 ---hs---- C:\WINDOWS\system32\horaqftk.ini

2008-04-09 12:51 . 2008-04-09 18:47 466 ---hs---- C:\WINDOWS\system32\jqmvxphj.ini

2008-04-09 09:52 . 2008-04-09 09:52 <REP> d-------- C:\Documents and Settings\didi\Application Data\Malwarebytes

2008-04-09 09:50 . 2008-04-22 22:01 <REP> d-------- C:\Program Files\Antivirus

2008-04-09 09:50 . 2008-04-09 09:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-04-09 09:18 . 2008-04-09 09:18 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-04-09 09:18 . 2008-04-09 09:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-04-09 09:01 . 2008-04-26 17:13 <REP> d-------- C:\tmp

2008-04-09 08:50 . 2008-04-09 09:10 354 ---hs---- C:\WINDOWS\system32\nvxstcyh.ini

2008-04-09 08:25 . 2004-10-01 09:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2008-04-09 08:25 . 2004-10-01 09:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-04-09 08:25 . 2004-10-01 08:32 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles

2008-04-09 08:25 . 2004-10-01 08:37 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents

2008-04-09 08:25 . 2004-10-01 09:31 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2008-04-09 08:25 . 2004-10-01 08:37 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris

2008-04-09 08:25 . 2008-04-22 19:12 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-04-09 08:25 . 2008-04-09 08:25 <REP> d-------- C:\Documents and Settings\Administrateur

2008-04-09 08:25 . 2008-04-26 17:41 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG

2008-04-05 19:03 . 2008-04-05 19:03 <REP> d-------- C:\Program Files\Alwil Software

2008-04-01 19:44 . 2008-04-02 14:43 1,591,851 ---hs---- C:\WINDOWS\system32\ukudjvff.ini

2008-04-01 19:42 . 2008-04-01 19:42 1,591,713 ---hs---- C:\WINDOWS\system32\mnkyusgk.ini

2008-04-01 18:29 . 2008-04-01 19:36 1,591,653 ---hs---- C:\WINDOWS\system32\waltscnx.ini

2008-03-30 12:35 . 2008-03-30 12:39 <REP> d-------- C:\WINDOWS\SxsCaPendDel

2008-03-29 18:19 . 2004-05-14 17:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll

2008-03-29 18:19 . 2004-01-12 03:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll

2008-03-29 18:19 . 2003-11-04 16:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll

2008-03-28 07:57 . 2008-03-28 07:57 <REP> d-------- C:\WINDOWS\Sun

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-26 09:10 --------- d-----w C:\Program Files\Logitech

2008-04-26 08:55 --------- d-----w C:\Program Files\Wanadoo

2008-04-26 08:55 --------- d-----w C:\Documents and Settings\didi\Application Data\EoRezo

2008-04-22 20:01 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-21 23:27 --------- d-----w C:\Documents and Settings\didi\Application Data\OpenOffice.org2

2008-04-05 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-05 10:21 --------- d-----w C:\Program Files\Google

2008-03-29 09:47 --------- d-----w C:\Program Files\eoRezo

2008-03-28 22:08 --------- d-----w C:\Documents and Settings\didi\Application Data\LimeWire

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-16 10:22 --------- d-----w C:\Program Files\Java

2008-03-07 18:13 --------- d-----w C:\Program Files\eMule

2008-03-07 18:10 --------- d-----w C:\Program Files\Clic-Go 150 000 Cliparts Volume 2

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-27 10:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Frag great bend logo

2008-02-26 18:29 --------- d-----w C:\Program Files\MSECache

2008-02-26 17:02 --------- d-----w C:\Program Files\Its Label

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-01-30 16:06 122,823 ----a-w C:\WINDOWS\system32\bkgsvcll.exe

2007-02-23 12:57 9,851 ----a-w C:\Program Files\Fichiers communs\ehm.ini

2006-10-25 15:01 362,324 ----a-w C:\Program Files\Freigné.sc3

2006-04-09 15:16 230,753 ----a-w C:\Program Files\Rennes.sc3

2006-02-01 14:52 42,429 ----a-w C:\Program Files\Chateaubriant.sc3

2006-01-31 17:56 357,411 ----a-w C:\Program Files\derande .sc3

2006-01-26 18:43 250,314 ----a-w C:\Program Files\Paris.sc3

2005-08-23 13:52 47,000 ----a-w C:\Program Files\Monaco.sc3

2005-01-22 11:28 46,799 ----a-w C:\Program Files\SUPER VILLE.sc3

.

 

((((((((((((((((((((((((((((( snapshot@2008-04-22_19.31.23.84 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-22 17:11:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-26 08:52:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-02-27 13:59:28 290,816 ----a-w C:\WINDOWS\Downloaded Program Files\auc_lib.dll

+ 2008-02-27 13:59:28 495,616 ----a-w C:\WINDOWS\Downloaded Program Files\daas_s.dll

+ 2008-02-27 14:00:12 262,144 ----a-w C:\WINDOWS\Downloaded Program Files\fscax.dll

+ 2008-02-27 13:59:16 588,392 ----a-w C:\WINDOWS\Downloaded Program Files\gatelauncher.exe

+ 2008-01-21 16:12:56 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys

+ 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys

+ 2008-03-04 11:28:53 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys

+ 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 15:50 122880]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-08-16 16:19 5728112]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]

"SpybotSD TeaTimer"="C:\Program Files\Antivirus\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-02 16:35 7110656]

"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 10:46 497200]

"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34 614960]

"!AVG Anti-Spyware"="C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"GazelDisplay"="C:\Program Files\Gazel-NT\gsyno.exe" [2003-09-10 10:07 81920]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [ ]

 

C:\Documents and Settings\anne paule\Menu D‚marrer\Programmes\D‚marrage\

Event Reminder.lnk - C:\pmw\PMREMIND.EXE [1997-11-03 17:55:42 254128]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfETnLb]

khfETnLb.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.iv31"= C:\WINDOWS\System32\ir32_32.dll

"vidc.iv32"= C:\WINDOWS\System32\ir32_32.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1c75eb04]

C:\WINDOWS\system32\lkkuyupq.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bat Poke]

C:\DOCUME~1\didi\APPLIC~1\CHICFL~1\save trust less.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bend logo clock film]

--a------ 2008-04-09 11:01 2713088 C:\Documents and Settings\All Users\Application Data\Frag great bend logo\Deaf Bias.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1f46d898]

C:\WINDOWS\system32\fxmeugke.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]

--a------ 2008-03-05 18:43 561152 C:\Program Files\eoRezo\EoEngine.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\LimeWire\\LimeWire.exe"=

"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

 

R2 Gazel-CAPI;Pilote Gazel CAPI 2.0;C:\WINDOWS\system32\DRIVERS\gcapi20.sys [2003-03-26 16:43]

R2 Gazel Startup;Démarrage Gazel;"C:\Program Files\Gazel-NT\vstartx.exe" /s []

R2 Gazel;Pilote Gazel;C:\WINDOWS\system32\DRIVERS\gisdngen.sys [2003-09-11 09:01]

R2 GisdnLog;Journal des connexions RNIS;"C:\Program Files\Gazel-NT\gisdnlog.exe" -s []

R2 Gserial;Port de communication Gazel;C:\WINDOWS\system32\DRIVERS\gserial.sys [2004-07-13 15:32]

R3 Gisdnpci;Pilote Gazel PnP;C:\WINDOWS\system32\DRIVERS\gisdnpnp.sys [2003-11-06 15:29]

R3 gisdnwan;Gazel WAN miniport;C:\WINDOWS\system32\DRIVERS\gisdnwan.sys [2000-11-28 15:53]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{677136f6-e056-11db-8de4-00038a000015}]

\Shell\AutoRun\command - F:\InstallTomTomHOME.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-04-26 16:00:00 C:\WINDOWS\Tasks\AB0116A6918A91B6.job"

- c:\docume~1\didi\applic~1\chicfl~1\Win date hold.exe

"2008-04-26 15:15:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-26 17:57:23

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 3705

 

**************************************************************************

.

Temps d'accomplissement: 2008-04-26 18:09:20

ComboFix-quarantined-files.txt 2008-04-26 16:08:19

 

Pre-Run: 113,890,922,496 octets libres

Post-Run: 113,872,916,480 octets libres

 

234 --- E O F --- 2008-04-11 16:02:39

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Lancez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

C:\WINDOWS\system32\edrpposv.ini

C:\WINDOWS\system32\flsximts.ini

C:\WINDOWS\system32\kkwlkpch.ini

C:\WINDOWS\system32\utgsbhtg.ini

C:\WINDOWS\system32\horaqftk.ini

C:\WINDOWS\system32\jqmvxphj.ini

C:\WINDOWS\system32\nvxstcyh.ini

C:\WINDOWS\system32\ukudjvff.ini

C:\WINDOWS\system32\waltscnx.ini

C:\Program Files\eoRezo

C:\WINDOWS\system32\bkgsvcll.exe

C:\WINDOWS\system32\lkkuyupq.dll

C:\WINDOWS\system32\fxmeugke.dll

C:\Program Files\eoRezo\EoEngine.exe

 

Folder::

C:\Program Files\eoRezo

 

registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfETnLb]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1c75eb04]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM1f46d898]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

 

Enregistrez-le en lui donnant le nom CFScript.txt

 

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

wv0zyqhphc.gif

 

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Sparfell Mega Power Member

Sparfell

Posté(e)
  • Auteur
Posté(e)

Bonsoir

 

Hmmm, je suis pas resté devant mais apparemment le PC a rebooté. Le rapport n'était pas affiché, mais je l'ai trouvé dans C:\ComboFix\ComboFix.txt. Le voilà :

 

ComboFix 08-04-24.1 - didi 2008-04-26 20:07:18.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.363 [GMT 2:00]

Endroit: C:\Documents and Settings\didi\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\didi\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

FILE ::

C:\Program Files\eoRezo

C:\Program Files\eoRezo\EoEngine.exe

C:\WINDOWS\system32\bkgsvcll.exe

C:\WINDOWS\system32\edrpposv.ini

C:\WINDOWS\system32\flsximts.ini

C:\WINDOWS\system32\fxmeugke.dll

C:\WINDOWS\system32\horaqftk.ini

C:\WINDOWS\system32\jqmvxphj.ini

C:\WINDOWS\system32\kkwlkpch.ini

C:\WINDOWS\system32\lkkuyupq.dll

C:\WINDOWS\system32\nvxstcyh.ini

C:\WINDOWS\system32\ukudjvff.ini

C:\WINDOWS\system32\utgsbhtg.ini

C:\WINDOWS\system32\waltscnx.ini

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\eoRezo

C:\Program Files\eoRezo\cmhost.cyp

C:\Program Files\eoRezo\ConfMedia.cyp

C:\Program Files\eoRezo\EoAdv\EoAdv.dll

C:\Program Files\eoRezo\EoAdv\eoAdv.url

C:\Program Files\eoRezo\EoAdv\tmp\eoRezoBho.dll.1667

C:\Program Files\eoRezo\EoAdv\tmp\eoRezoBho.dll.276

C:\Program Files\eoRezo\EoAdv\tmp\eoRezoBho.dll.5173

C:\Program Files\eoRezo\EoAdv\tmp\eoRezoBho.dll.5665

C:\Program Files\eoRezo\EoAdv\tmp\eoRezoBho.dll.6685

C:\Program Files\eoRezo\EoEngine.exe

C:\Program Files\eoRezo\eoEngine.url

C:\Program Files\eoRezo\EoMultiLanguage.dll

C:\Program Files\eoRezo\EoRezoComm.dll

C:\Program Files\eoRezo\EoRezoImg_12.dll

C:\Program Files\eoRezo\EoRezoImg_15.dll

C:\Program Files\eoRezo\EoRezoImg_16.dll

C:\Program Files\eoRezo\EoRezoImg_17.dll

C:\Program Files\eoRezo\EoRezoImg_18.dll

C:\Program Files\eoRezo\EoRezoImg_19.dll

C:\Program Files\eoRezo\EoRezoImg_20.dll

C:\Program Files\eoRezo\EoRezoImg_21.dll

C:\Program Files\eoRezo\EoRezoImg_22.dll

C:\Program Files\eoRezo\EoRezoImg_23.dll

C:\Program Files\eoRezo\EoRezoImg_24.dll

C:\Program Files\eoRezo\EoRezoTools_12.dll

C:\Program Files\eoRezo\EoRezoTools_15.dll

C:\Program Files\eoRezo\EoRezoTools_16.dll

C:\Program Files\eoRezo\EoRezoTools_17.dll

C:\Program Files\eoRezo\EoRezoTools_18.dll

C:\Program Files\eoRezo\EoRezoTools_19.dll

C:\Program Files\eoRezo\EoRezoTools_20.dll

C:\Program Files\eoRezo\EoRezoTools_21.dll

C:\Program Files\eoRezo\EoRezoTools_22.dll

C:\Program Files\eoRezo\EoRezoTools_23.dll

C:\Program Files\eoRezo\EoSudoku\EoSudoku.dll

C:\Program Files\eoRezo\EoSudoku\eoSudoku.url

C:\Program Files\eoRezo\EoSudoku\EoSudokuSkin1.pcb

C:\Program Files\eoRezo\EoSudoku\EoSudokuSkinClassicMauve.pcb

C:\Program Files\eoRezo\EoSudoku\EoSudokuSkinClassicNoir.pcb

C:\Program Files\eoRezo\EoSudoku\EoSudokuSkinClassicRouge.pcb

C:\Program Files\eoRezo\EoSudoku\EoSudokuSkinClassicVert.pcb

C:\Program Files\eoRezo\EoSudoku\grids_difficile_20060701.sud

C:\Program Files\eoRezo\EoSudoku\grids_difficile_20060702.sud

C:\Program Files\eoRezo\EoSudoku\grids_facile_20060701.sud

C:\Program Files\eoRezo\EoSudoku\grids_facile_20060702.sud

C:\Program Files\eoRezo\EoSudoku\grids_moyen_20060701.sud

C:\Program Files\eoRezo\EoSudoku\grids_moyen_20060702.sud

C:\Program Files\eoRezo\EoSudoku\ItsTV.exe

C:\Program Files\eoRezo\EoSudoku\ItsTV.url

C:\Program Files\eoRezo\EoSudoku\ItsTV.xml

C:\Program Files\eoRezo\EoSudoku\Loading.swf

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Mauve.xml

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Mauve.xml.en

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Mauve.xml.es

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Mauve.xml.fr

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Mauve.xml.it

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Noir.xml

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Noir.xml.en

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Noir.xml.es

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Noir.xml.fr

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Noir.xml.it

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Rouge.xml

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Rouge.xml.en

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Rouge.xml.es

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Rouge.xml.fr

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Rouge.xml.it

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Vert.xml

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Vert.xml.en

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Vert.xml.es

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Vert.xml.fr

C:\Program Files\eoRezo\EoSudoku\skin_eoSudoku_Classic Vert.xml.it

C:\Program Files\eoRezo\EoSudoku\unins000.dat

C:\Program Files\eoRezo\EoSudoku\unins000.exe

C:\Program Files\eoRezo\EoSudoku\unins001.dat

C:\Program Files\eoRezo\EoSudoku\unins001.exe

C:\Program Files\eoRezo\EoSudoku\unins002.dat

C:\Program Files\eoRezo\EoSudoku\unins002.exe

C:\Program Files\eoRezo\EoWeather\EoWeather.cfg

C:\Program Files\eoRezo\EoWeather\EoWeather.dll

C:\Program Files\eoRezo\EoWeather\eoWeather.url

C:\Program Files\eoRezo\EoWeather\EoWeatherSkin1.pcb

C:\Program Files\eoRezo\EoWeather\EoWeatherSkinClassic.pcb

C:\Program Files\eoRezo\EoWeather\ItsTV.exe

C:\Program Files\eoRezo\EoWeather\ItsTV.url

C:\Program Files\eoRezo\EoWeather\ItsTV.xml

C:\Program Files\eoRezo\EoWeather\Loading.swf

C:\Program Files\eoRezo\EoWeather\skin_eoweather_classic.xml.en

C:\Program Files\eoRezo\EoWeather\skin_eoweather_classic.xml.es

C:\Program Files\eoRezo\EoWeather\skin_eoweather_classic.xml.fr

C:\Program Files\eoRezo\EoWeather\skin_eoweather_classic.xml.it

C:\Program Files\eoRezo\EoWeather\skin_eoweather_station meteo.xml.en

C:\Program Files\eoRezo\EoWeather\skin_eoweather_station meteo.xml.es

C:\Program Files\eoRezo\EoWeather\skin_eoweather_station meteo.xml.fr

C:\Program Files\eoRezo\EoWeather\skin_eoweather_station meteo.xml.it

C:\Program Files\eoRezo\EoWeather\unins000.dat

C:\Program Files\eoRezo\EoWeather\unins000.exe

C:\Program Files\eoRezo\EoWeather\unins001.dat

C:\Program Files\eoRezo\EoWeather\unins001.exe

C:\Program Files\eoRezo\EoWeather\unins002.dat

C:\Program Files\eoRezo\EoWeather\unins002.exe

C:\Program Files\eoRezo\FreeImage.dll

C:\Program Files\eoRezo\Host.cyp

C:\Program Files\eoRezo\icon_eo.st.ico

C:\Program Files\eoRezo\lang\ihm_eoclock.xml

C:\Program Files\eoRezo\lang\ihm_eoengine.xml

C:\Program Files\eoRezo\lang\ihm_eonet.xml

C:\Program Files\eoRezo\lang\ihm_eorezotools.xml

C:\Program Files\eoRezo\lang\ihm_eosudoku.xml

C:\Program Files\eoRezo\lang\ihm_eoweather.xml

C:\Program Files\eoRezo\lang\lang_en.xml

C:\Program Files\eoRezo\lang\lang_es.xml

C:\Program Files\eoRezo\lang\lang_fr.xml

C:\Program Files\eoRezo\lang\lang_it.xml

C:\Program Files\eoRezo\MngInstaller.dll

C:\Program Files\eoRezo\unins000.dat

C:\Program Files\eoRezo\unins000.exe

C:\Program Files\eoRezo\user.cyp

C:\WINDOWS\system32\bkgsvcll.exe

C:\WINDOWS\system32\edrpposv.ini

C:\WINDOWS\system32\flsximts.ini

C:\WINDOWS\system32\horaqftk.ini

C:\WINDOWS\system32\jqmvxphj.ini

C:\WINDOWS\system32\kkwlkpch.ini

C:\WINDOWS\system32\nvxstcyh.ini

C:\WINDOWS\system32\ukudjvff.ini

C:\WINDOWS\system32\utgsbhtg.ini

C:\WINDOWS\system32\waltscnx.ini

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-26 to 2008-04-26 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-26 12:47 . 2008-04-26 12:47 <REP> d-------- C:\_OTMoveIt

2008-04-26 11:21 . 2008-04-26 19:57 <REP> d-------- C:\Program Files\Navilog1

2008-04-25 19:01 . 2008-04-25 19:01 <REP> d-------- C:\Program Files\Avira

2008-04-24 14:22 . 2008-04-25 19:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-04-22 23:09 . 2008-04-22 23:09 <REP> d-------- C:\fsaua.data

2008-04-22 20:18 . 2008-04-22 20:18 <REP> d-------- C:\VundoFix Backups

2008-04-21 23:48 . 2008-04-21 23:48 153 --a------ C:\WINDOWS\wininit.ini

2008-04-21 22:52 . 2008-04-21 23:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-21 16:06 . 2008-04-21 16:06 <REP> d-------- C:\Program Files\Gazel-NT

2008-04-21 16:06 . 2004-07-13 15:32 199,216 --a------ C:\WINDOWS\system32\drivers\gserial.sys

2008-04-21 16:06 . 2003-09-11 09:01 122,976 --a------ C:\WINDOWS\system32\drivers\gisdngen.sys

2008-04-21 16:06 . 2003-11-06 15:29 97,024 --a------ C:\WINDOWS\system32\drivers\gisdnpnp.sys

2008-04-21 16:06 . 2003-09-10 09:55 90,112 --a------ C:\WINDOWS\system32\PROFIL32.dll

2008-04-21 16:06 . 2003-09-10 09:55 90,112 --a------ C:\WINDOWS\PROFIL32.dll

2008-04-21 16:06 . 2003-09-10 11:22 57,344 --a------ C:\WINDOWS\system32\gisdn.cpl

2008-04-21 16:06 . 2003-03-26 16:43 51,760 --a------ C:\WINDOWS\system32\drivers\Gcapi20.sys

2008-04-21 16:06 . 2002-12-19 14:26 49,152 --a------ C:\WINDOWS\system32\CAPI2032.DLL

2008-04-21 16:06 . 2002-12-19 14:26 49,152 --a------ C:\WINDOWS\CAPI2032.DLL

2008-04-21 16:06 . 2000-11-28 15:53 23,520 --a------ C:\WINDOWS\system32\drivers\gisdnwan.sys

2008-04-21 16:05 . 2008-04-21 16:05 <REP> d-------- C:\Documents and Settings\didi\WINDOWS

2008-04-17 20:47 . 2008-04-17 20:47 <REP> d-------- C:\Documents and Settings\didi\Application Data\Grisoft

2008-04-17 20:47 . 2008-04-17 20:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-04-17 20:47 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-04-17 20:40 . 2008-04-17 20:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-04-12 20:28 . 2008-04-12 20:28 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes

2008-04-12 19:25 . 2008-04-12 19:25 <REP> d-------- C:\WINDOWS\ERUNT

2008-04-12 19:24 . 2008-04-21 21:56 <REP> d-------- C:\SDFix

2008-04-11 18:29 . 2008-04-11 18:29 <REP> d-------- C:\Program Files\Rockstar Games

2008-04-09 09:52 . 2008-04-09 09:52 <REP> d-------- C:\Documents and Settings\didi\Application Data\Malwarebytes

2008-04-09 09:50 . 2008-04-26 18:49 <REP> d-------- C:\Program Files\Antivirus

2008-04-09 09:50 . 2008-04-09 09:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-04-09 09:18 . 2008-04-09 09:18 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-04-09 09:18 . 2008-04-09 09:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-04-09 09:01 . 2008-04-26 17:13 <REP> d-------- C:\tmp

2008-04-09 08:25 . 2004-10-01 09:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-04-09 08:25 . 2004-10-01 09:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-04-09 08:25 . 2004-10-01 08:32 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-04-09 08:25 . 2004-10-01 08:37 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents

2008-04-09 08:25 . 2004-10-01 09:31 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-04-09 08:25 . 2004-10-01 08:37 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris

2008-04-09 08:25 . 2008-04-22 19:12 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-04-09 08:25 . 2008-04-09 08:25 <REP> d-------- C:\Documents and Settings\Administrateur

2008-04-09 08:25 . 2008-04-26 17:41 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG

2008-04-05 19:03 . 2008-04-05 19:03 <REP> d-------- C:\Program Files\Alwil Software

2008-04-01 19:42 . 2008-04-01 19:42 1,591,713 ---hs---- C:\WINDOWS\system32\mnkyusgk.ini

2008-03-30 12:35 . 2008-03-30 12:39 <REP> d-------- C:\WINDOWS\SxsCaPendDel

2008-03-29 18:19 . 2004-05-14 17:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll

2008-03-29 18:19 . 2004-01-12 03:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll

2008-03-29 18:19 . 2003-11-04 16:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll

2008-03-29 18:19 . 2004-05-14 17:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll

2008-03-28 07:57 . 2008-03-28 07:57 <REP> d-------- C:\WINDOWS\Sun

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-26 18:16 --------- d-----w C:\Program Files\Wanadoo

2008-04-26 09:10 --------- d-----w C:\Program Files\Logitech

2008-04-26 08:55 --------- d-----w C:\Documents and Settings\didi\Application Data\EoRezo

2008-04-22 20:01 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-21 23:27 --------- d-----w C:\Documents and Settings\didi\Application Data\OpenOffice.org2

2008-04-05 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-05 10:21 --------- d-----w C:\Program Files\Google

2008-03-28 22:08 --------- d-----w C:\Documents and Settings\didi\Application Data\LimeWire

2008-03-16 10:22 --------- d-----w C:\Program Files\Java

2008-03-07 18:13 --------- d-----w C:\Program Files\eMule

2008-03-07 18:10 --------- d-----w C:\Program Files\Clic-Go 150 000 Cliparts Volume 2

2008-02-27 10:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Frag great bend logo

2008-02-26 18:29 --------- d-----w C:\Program Files\MSECache

2008-02-26 17:02 --------- d-----w C:\Program Files\Its Label

2007-02-23 12:57 9,851 ----a-w C:\Program Files\Fichiers communs\ehm.ini

2006-10-25 15:01 362,324 ----a-w C:\Program Files\Freigné.sc3

2006-04-09 15:16 230,753 ----a-w C:\Program Files\Rennes.sc3

2006-02-01 14:52 42,429 ----a-w C:\Program Files\Chateaubriant.sc3

2006-01-31 17:56 357,411 ----a-w C:\Program Files\derande .sc3

2006-01-26 18:43 250,314 ----a-w C:\Program Files\Paris.sc3

2005-08-23 13:52 47,000 ----a-w C:\Program Files\Monaco.sc3

2005-01-22 11:28 46,799 ----a-w C:\Program Files\SUPER VILLE.sc3

.

 

((((((((((((((((((((((((((((( snapshot@2008-04-22_19.31.23.84 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-22 17:11:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-26 18:12:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-02-27 13:59:28 290,816 ----a-w C:\WINDOWS\Downloaded Program Files\auc_lib.dll

+ 2008-02-27 13:59:28 495,616 ----a-w C:\WINDOWS\Downloaded Program Files\daas_s.dll

+ 2008-02-27 14:00:12 262,144 ----a-w C:\WINDOWS\Downloaded Program Files\fscax.dll

+ 2008-02-27 13:59:16 588,392 ----a-w C:\WINDOWS\Downloaded Program Files\gatelauncher.exe

+ 2008-01-21 16:12:56 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys

+ 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys

+ 2008-03-04 11:28:53 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys

+ 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 15:50 122880]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-08-16 16:19 5728112]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]

"SpybotSD TeaTimer"="C:\Program Files\Antivirus\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-02 16:35 7110656]

"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 10:46 497200]

"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34 614960]

"!AVG Anti-Spyware"="C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"GazelDisplay"="C:\Program Files\Gazel-NT\gsyno.exe" [2003-09-10 10:07 81920]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfETnLb]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.iv31"= C:\WINDOWS\System32\ir32_32.dll

"vidc.iv32"= C:\WINDOWS\System32\ir32_32.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bat Poke]

C:\DOCUME~1\didi\APPLIC~1\CHICFL~1\save trust less.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bend logo clock film]

--a------ 2008-04-09 11:01 2713088 C:\Documents and Settings\All Users\Application Data\Frag great bend logo\Deaf Bias.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\LimeWire\\LimeWire.exe"=

"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

 

R2 Gazel-CAPI;Pilote Gazel CAPI 2.0;C:\WINDOWS\system32\DRIVERS\gcapi20.sys [2003-03-26 16:43]

R2 Gazel Startup;Démarrage Gazel;"C:\Program Files\Gazel-NT\vstartx.exe" /s []

R2 Gazel;Pilote Gazel;C:\WINDOWS\system32\DRIVERS\gisdngen.sys [2003-09-11 09:01]

R2 GisdnLog;Journal des connexions RNIS;"C:\Program Files\Gazel-NT\gisdnlog.exe" -s []

R2 Gserial;Port de communication Gazel;C:\WINDOWS\system32\DRIVERS\gserial.sys [2004-07-13 15:32]

R3 Gisdnpci;Pilote Gazel PnP;C:\WINDOWS\system32\DRIVERS\gisdnpnp.sys [2003-11-06 15:29]

R3 gisdnwan;Gazel WAN miniport;C:\WINDOWS\system32\DRIVERS\gisdnwan.sys [2000-11-28 15:53]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{677136f6-e056-11db-8de4-00038a000015}]

\Shell\AutoRun\command - F:\InstallTomTomHOME.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-04-26 18:00:00 C:\WINDOWS\Tasks\AB0116A6918A91B6.job"

- c:\docume~1\didi\applic~1\chicfl~1\Win date hold.exe

"2008-04-26 18:16:46 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Je sais que vous n'êtes pas devant le pc,mais votre oeil d'épervier devrait pouvoir me dire si cela va mieux, non?

Invité Sparfell

Invité Sparfell

Posté(e)
Posté(e)
mais votre oeil d'épervier

Je vois que la triskèle a parlé :P. Bon, l'épervier n'est pas encore couché ... je ne remarque pas de comportement suspect ... mais c'était déjà le cas depuis plusieurs jours (pourtant, il en restait encore pas mal des saloperies ! ). Je vais laisser le PC connecté au net demain toute la journée, et je verrais bien lundi s'il est redevenu un bouillon de culture ou pas :P.

 

Par simple curiosité, et si ce n'est pas trop abuser du temps qui m'est généreusement accordé, c'est quel genre d'infection qui se permettait de rameuter des exe douteux à mesure que je croyais les éradiquer?

 

Et autres questions, mais cette fois-ci pour essayer de préparer un avenir plus sain pour ce pauvre PC quand il aura retrouvé ses utilisateurs habituels.

1) Il n'y a qu'un seul utilisateur défini sur PC, mais il a tous les droits ... c'est "pratique" pour une utilisation "familliale" ... mais suicidaire sur le Net. Dois-je vraiment le transformer en utilisateur limité et créer un nouveau compte admin pour utilisation spéciale le cas échéant. Dois-je aller plus, loin en redéfinissant correctement le droit d'accès aux fichiers (je l'ai fait sur mon XP pro, mais je ne sais pas encore si c'est possible sur ce XP Home).

2) Je vire le firewall XP et je mets ZoneAlarm à la place.?

3) Je laisse Antivir et ne reviens pas à Avast ... parce que je crois que les utilisateurs habituels de ce PC vont un peu paniquer avec l'Anglais d'Antivir?

Bref, il y aurait beaucoup de choses à faire sur ce PC ... mais ça risque de pas mal bousculer les habitudes de ses utilisateurs attitrés ... et là .... y a du boulot :P !!!

 

Dans tous les cas, un grand merci pour le temps consacré à m'aider :P ! Rendez-vous lundi pour voir l'état de la bestiole. Bon dimanche!

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

J'y répondrer peut -être mieux plus tard.

 

dans l'immédiat , voyez sur internet si la commande Net user ne répondrait pas à votre question.

 

Je vire le firewall XP et je mets ZoneAlarm à la place.

Aucun intérêt, c'est la,même chose .

Modifié par pear
Sparfell Mega Power Member

Sparfell

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

Le PC semble se comporter correctement après être resté connecté au Net. Faut-il en conclure que la bataille est gagnée ... pour l'instant?

 

Voici le rapport HJT au cas où :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:24, on 2008-04-28

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Gazel-NT\vstartx.exe

C:\Program Files\Gazel-NT\gisdnlog.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Gazel-NT\gsyno.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Antivirus\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [GazelDisplay] "C:\Program Files\Gazel-NT\gsyno.exe" -h

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Antivirus\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Search - ?p=ZNxmk142YYFR

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?ace98d55c5bd42f2a10d0c1bec107423

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?ace98d55c5bd42f2a10d0c1bec107423

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll

O15 - Trusted Zone: http://www.kaspersky.com

O15 - Trusted Zone: http://*.secuser.com

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} -

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{166E61B8-368A-4A49-8E0D-BBC05A99691E}: NameServer = 212.83.156.81 62.210.64.50

O20 - Winlogon Notify: khfETnLb - C:\WINDOWS\

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Antivirus\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Démarrage Gazel (Gazel Startup) - F.H.L.P. - C:\Program Files\Gazel-NT\vstartx.exe

O23 - Service: Journal des connexions RNIS (GisdnLog) - F.H.L.P. - C:\Program Files\Gazel-NT\gisdnlog.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

 

--

End of file - 9626 bytes

 

Quelle est la suite des opérations? Et je me permets de rappeler Les questions de mon précédent post afin d'assurer un peu plus de sécurité sur ce pc. Encore merci :P !

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Le rapport hijackthis est bon.

 

Dois-je vraiment le transformer en utilisateur limité

 

Non , il vaut mieux utiliser un logiciel comme DropMyrights qui abaisse les privilèges de l'utilisateur quand il va sur le net.

 

De la lecture sur Zébulon:

 

http://www.zebulon.fr/search.php?q=dropmyr...p;forid=1&i

e=ISO-8859-1&oe=ISO-8859-1&flav=0000&sig=yvJOvPd5XfYH_yIK&cof=GALT%3A%23C01F17%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A006AB3

%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A3A3A3A%3BLC%3A006AB3%3BT%3A000000%3BGFNT%3ACCCCCC%3BGIMP%

3A3A3A3A%3BFORID%3A11&hl=fr&sitesearch=zebulon.fr

 

Parefeu Zone alarm,ce n'est guère mieux que celui de Xp.

Je trouve ceci meilleur:

http://www.pctools.com/fr/firewall/

 

Je laisse Antivir et ne reviens pas à Avast

 

Sans aucun doute.

Il vous suffira de la paramètrer au mieux, vos "clients" n'en souffriront pas.

Paramètres conseillés

Clic droit sur le parapluie->Configure

Cliquer Expert mode->Scan:

Cocher: All files

Additionnal Settings:tout cocher

Clic sur scan +

Action for concerning files:

Cocher

copie file to quarantine before action

Primary action...................: repair => au cas ou ce serait un fichier système corrompu

Secondary action.................: delete => s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine

Je demeure à votre disposition si vous avez d'autres questions.

Sparfell Mega Power Member

Sparfell

Posté(e)
  • Auteur
Posté(e)

Merci, merci INFINIMENT pour l'aide apportée :P :P ! Je vais essayer de suivre vos conseils pour préparer le PC à sa 2e vie sur le Net :P.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...