Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] PC infecté par un faux Antivirus

fragme

Par fragme
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Je peux intervenir sur le registre et corriger certaines choses.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  • Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

fragme Power Member

fragme

Posté(e)
  • Auteur
Posté(e)

Voila c'est fait et je tient a preciser que le panneau de configuration remarche voici le log

 

ComboFix 08-07-05.1 - Maria 2008-07-06 17:18:38.1 - NTFSx86

Microsoft Windows Vista dition Familiale Premium 6.0.6001.1.1252.1.1036.18.2207 [GMT 2:00]

Endroit: C:\Users\Maria\Desktop\ComboFix.exe

* Cration d'un nouveau point de restauration

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Users\Maria\AppData\Roaming\Microsoft\Windows\Start Menu\Antivirus 2009

C:\Users\Maria\AppData\Roaming\Microsoft\Windows\Start Menu\Antivirus 2009\Antivirus 2009.lnk

C:\Users\Maria\AppData\Roaming\Microsoft\Windows\Start Menu\Antivirus 2009\Uninstall Antivirus 2009.lnk

C:\Windows\system32\jusched.exe

C:\Windows\system32\scui.cpl

C:\Windows\system32\wav.cpl

 

.

((((((((((((((((((((((((((((( Fichiers crs 2008-06-06 to 2008-07-06 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-06 16:14 . 2008-07-06 16:14 <REP> d-------- C:\Deckard

2008-07-06 15:02 . 2008-07-06 15:02 691 --a------ C:\Users\Maria\AppData\Roaming\GetValue.vbs

2008-07-06 15:02 . 2008-07-06 15:02 35 --a------ C:\Users\Maria\AppData\Roaming\SetValue.bat

2008-07-06 14:55 . 2008-07-06 15:02 3,134 --a------ C:\Windows\System32\tmp.reg

2008-07-06 14:54 . 2007-09-06 00:22 289,144 --a------ C:\Windows\System32\VCCLSID.exe

2008-07-06 14:54 . 2006-04-27 17:49 288,417 --a------ C:\Windows\System32\SrchSTS.exe

2008-07-06 14:54 . 2008-05-29 09:35 86,528 --a------ C:\Windows\System32\VACFix.exe

2008-07-06 14:54 . 2008-05-18 21:40 82,944 --a------ C:\Windows\System32\IEDFix.exe

2008-07-06 14:54 . 2008-07-02 13:33 82,432 --a------ C:\Windows\System32\IEDFix.C.exe

2008-07-06 14:54 . 2008-05-23 18:21 81,920 --a------ C:\Windows\System32\404Fix.exe

2008-07-06 14:54 . 2003-06-05 21:13 53,248 --a------ C:\Windows\System32\Process.exe

2008-07-06 14:54 . 2004-07-31 18:50 51,200 --a------ C:\Windows\System32\dumphive.exe

2008-07-06 14:54 . 2007-10-04 00:36 25,600 --a------ C:\Windows\System32\WS2Fix.exe

2008-07-06 09:15 . 2008-07-06 09:15 1,130 --a------ C:\Windows\wininit.ini

2008-07-06 08:34 . 2008-07-06 09:16 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy

2008-07-06 08:34 . 2008-07-06 09:16 <REP> d-------- C:\ProgramData\Spybot - Search & Destroy

2008-07-06 08:34 . 2008-07-06 08:34 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-07-06 07:11 . 2008-07-06 08:30 <REP> d-------- C:\Program Files\WAV

2008-07-04 00:40 . 2008-07-04 00:40 56 --ah----- C:\Windows\System32\ezsidmv.dat

2008-07-03 09:29 . 2008-07-03 09:29 <REP> d-------- C:\Windows\System32\Nexus Radio

2008-07-03 09:29 . 2008-07-06 07:48 <REP> d-------- C:\Program Files\Nexus Radio

2008-07-03 09:29 . 2008-07-03 13:14 <REP> d-------- C:\My Recorded Files

2008-07-03 00:54 . 2008-07-03 00:57 <REP> d-------- C:\Users\Maria\AppData\Roaming\VoipBuster

2008-07-02 23:08 . 2008-07-02 23:08 <REP> d-------- C:\Users\Maria\AppData\Roaming\WinBatch

2008-07-02 22:23 . 2008-07-02 22:58 <REP> d-------- C:\Users\Maria\AppData\Roaming\Hamachi

2008-07-02 22:23 . 2008-07-02 22:23 <REP> d-------- C:\Program Files\Hamachi

2008-07-02 22:23 . 2008-07-02 22:23 25,280 --a------ C:\Windows\System32\drivers\hamachi.sys

2008-07-02 12:17 . 2008-07-02 12:17 <REP> d-------- C:\PerfLogs

2008-07-02 11:52 . 2008-07-02 12:09 <REP> d-------- C:\Users\Maria\AppData\Roaming\FileZilla

2008-07-02 11:51 . 2008-07-02 11:51 <REP> d-------- C:\Program Files\FileZilla FTP Client

2008-07-02 11:34 . 2008-07-02 11:34 <REP> d-------- C:\Program Files\Trend Micro

2008-07-02 11:24 . 2008-07-02 11:24 <REP> d-------- C:\Program Files\CodeStuff

2008-07-02 00:42 . 2008-07-06 05:41 <REP> d-------- C:\Program Files\World of Warcraft

2008-07-01 22:01 . 2008-07-01 22:01 <REP> d-------- C:\Users\Maria\AppData\Roaming\TuneUp Software

2008-07-01 22:01 . 2008-07-01 22:01 355,584 --a------ C:\Windows\System32\TuneUpDefragService.exe

2008-07-01 22:01 . 2008-05-29 09:28 28,416 --a------ C:\Windows\System32\uxtuneup.dll

2008-07-01 22:01 . 2008-05-29 09:28 16,640 --a------ C:\Windows\System32\authuitu.dll

2008-07-01 22:00 . 2008-07-01 22:00 <REP> d-------- C:\Users\All Users\TuneUp Software

2008-07-01 22:00 . 2008-07-01 22:00 <REP> d-------- C:\ProgramData\TuneUp Software

2008-07-01 22:00 . 2008-07-01 22:01 <REP> d-------- C:\Program Files\TuneUp Utilities 2008

2008-07-01 21:42 . 2008-07-01 21:42 <REP> d-------- C:\Program Files\Common Files\Wise Installation Wizard

2008-07-01 17:22 . 2008-07-01 17:22 <REP> d-------- C:\Users\All Users\Avira

2008-07-01 17:22 . 2008-07-01 17:22 <REP> d-------- C:\ProgramData\Avira

2008-07-01 17:22 . 2008-07-01 17:22 <REP> d-------- C:\Program Files\Avira

2008-07-01 16:29 . 2008-07-05 19:01 <REP> d-------- C:\Program Files\Unlocker

2008-07-01 05:48 . 2004-06-26 13:22 6,016 --a------ C:\Windows\System32\drivers\vnccom.SYS

2008-07-01 05:48 . 2008-07-01 05:48 17 --a------ C:\Windows\System32\'

2008-07-01 05:47 . 2008-07-02 23:03 <REP> d-------- C:\Program Files\UltraVNC

2008-07-01 05:47 . 2005-06-10 22:02 12,800 --a------ C:\Windows\System32\vncdrv.dll

2008-07-01 05:47 . 2004-06-26 13:21 5,760 --a------ C:\Windows\System32\vnchelp.dll

2008-07-01 05:47 . 2004-06-26 13:22 4,736 --a------ C:\Windows\System32\drivers\vncdrv.sys

2008-06-29 06:00 . 2008-07-02 00:43 <REP> d-------- C:\Program Files\Common Files\Blizzard Entertainment

2008-06-29 01:11 . 2008-06-29 01:11 <REP> d-------- C:\Program Files\RealVNC

2008-06-14 19:00 . 2008-04-23 06:42 428,544 --a------ C:\Windows\System32\EncDec.dll

2008-06-14 19:00 . 2008-04-23 06:42 293,376 --a------ C:\Windows\System32\psisdecd.dll

2008-06-14 19:00 . 2008-04-23 06:41 218,624 --a------ C:\Windows\System32\psisrndr.ax

2008-06-14 19:00 . 2008-01-19 09:33 80,896 --a------ C:\Windows\System32\MSNP.ax

2008-06-14 19:00 . 2008-01-19 09:33 69,632 --a------ C:\Windows\System32\Mpeg2Data.ax

2008-06-14 19:00 . 2008-04-23 06:41 57,856 --a------ C:\Windows\System32\MSDvbNP.ax

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\Users\Public\CyberLink

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\Users\Maria\AppData\Roaming\CyberLink

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\Users\All Users\CyberLink

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\ProgramData\CyberLink

2008-06-11 00:18 . 2008-04-25 04:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb

2008-06-11 00:18 . 2008-04-26 10:08 1,314,816 --a------ C:\Windows\System32\quartz.dll

2008-06-11 00:18 . 2008-04-25 06:35 826,880 --a------ C:\Windows\System32\wininet.dll

2008-06-11 00:18 . 2008-05-10 03:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys

2008-06-08 03:02 . 2008-06-08 03:02 293,291,340 --a------ C:\Windows\MEMORY.DMP

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-06 15:17 --------- d-----w C:\Users\Maria\AppData\Roaming\Skype

2008-07-06 14:58 174 --sha-w C:\Program Files\desktop.ini

2008-07-06 14:51 --------- d-----w C:\Users\Maria\AppData\Roaming\uTorrent

2008-07-06 14:06 --------- d-----w C:\Users\Maria\AppData\Roaming\skypePM

2008-07-06 05:44 --------- d-----w C:\Users\Maria\AppData\Roaming\DMCache

2008-07-03 09:32 --------- d-----w C:\Program Files\Google

2008-07-02 21:34 --------- d-----w C:\ProgramData\NVIDIA

2008-07-02 19:51 --------- d-----w C:\Program Files\Steam

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Sidebar

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Photo Gallery

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Mail

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Journal

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Defender

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Collaboration

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Calendar

2008-07-02 09:41 82,432 ----a-w C:\Windows\System32\axaltocm.dll

2008-07-02 09:41 101,888 ----a-w C:\Windows\System32\ifxcardm.dll

2008-07-02 05:24 --------- d-----w C:\Program Files\Internet Download Manager

2008-06-24 11:36 --------- d-----w C:\Program Files\Common Files\Steam

2008-06-13 17:43 --------- d-----w C:\Users\Maria\AppData\Roaming\IDM

2008-06-07 17:06 --------- d-----w C:\Program Files\Windows Live

2008-06-07 17:04 --------- d-----w C:\ProgramData\WLInstaller

2008-06-01 00:17 --------- d-----w C:\ProgramData\Skype

2008-06-01 00:17 --------- d-----w C:\Program Files\Skype

2008-06-01 00:17 --------- d-----w C:\Program Files\Common Files\Skype

2008-05-31 23:25 --------- d-----w C:\Users\Maria\AppData\Roaming\My Games

2008-05-31 23:20 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-05-31 23:20 --------- d-----w C:\Program Files\Firaxis Games

2008-05-23 20:27 --------- d-----w C:\Users\Maria\AppData\Roaming\Ubisoft

2008-05-23 20:15 --------- d-----w C:\ProgramData\Ubisoft

2008-05-23 19:10 --------- d-----w C:\Users\Maria\AppData\Roaming\InstallShield

2008-05-23 19:10 --------- d-----w C:\Program Files\Ubisoft

2008-05-23 18:47 --------- d-----w C:\Program Files\DAEMON Tools Lite

2008-05-23 18:44 717,296 ----a-w C:\Windows\system32\drivers\sptd.sys

2008-05-23 18:44 --------- d-----w C:\Users\Maria\AppData\Roaming\DAEMON Tools

2008-05-23 13:48 --------- d-----w C:\Users\Maria\AppData\Roaming\SystemRequirementsLab

2008-05-23 13:48 --------- d-----w C:\Program Files\SystemRequirementsLab

2008-05-21 09:49 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller

2008-05-21 07:23 --------- d-----w C:\Users\Maria\AppData\Roaming\WildTangent

2008-05-21 07:23 --------- d-----w C:\ProgramData\WildTangent

2008-05-21 03:32 --------- d-----w C:\Program Files\uTorrent

2008-05-21 01:25 --------- d-----w C:\Program Files\EasyBits For Kids

2008-05-21 01:14 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-05-21 01:06 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys

2008-05-21 01:05 988,216 ----a-w C:\Windows\System32\winload.exe

2008-05-21 01:05 927,288 ----a-w C:\Windows\System32\winresume.exe

2008-05-21 01:05 615,992 ----a-w C:\Windows\System32\ci.dll

2008-05-21 01:05 6,656 ----a-w C:\Windows\System32\kbd106n.dll

2008-05-21 01:05 46,592 ----a-w C:\Windows\System32\setbcdlocale.dll

2008-05-21 01:05 40,960 ----a-w C:\Windows\System32\srclient.dll

2008-05-21 01:05 378,368 ----a-w C:\Windows\System32\srcore.dll

2008-05-21 01:05 318,464 ----a-w C:\Windows\System32\rstrui.exe

2008-05-21 01:05 19,000 ----a-w C:\Windows\System32\kd1394.dll

2008-05-21 01:05 14,848 ----a-w C:\Windows\System32\srdelayed.exe

2008-05-21 01:04 295,936 ----a-w C:\Windows\System32\gdi32.dll

2008-05-21 01:04 2,032,128 ----a-w C:\Windows\System32\win32k.sys

2008-05-20 21:38 --------- d-----w C:\Program Files\Codemasters

2008-05-20 15:49 --------- d-----w C:\Program Files\Portrait Displays

2008-05-20 15:49 --------- d-----w C:\Program Files\Common Files\Portrait Displays

2008-05-20 15:37 --------- d-----w C:\ProgramData\Symantec

2008-05-20 15:32 --------- d-----w C:\Users\Maria\AppData\Roaming\teamspeak2

2008-05-20 15:32 --------- d-----w C:\Program Files\Teamspeak2_RC2

2008-05-20 15:29 --------- d-----w C:\Users\Maria\AppData\Roaming\Hewlett-Packard

2008-05-20 15:29 --------- d-----w C:\ProgramData\Hewlett-Packard

2008-05-20 15:28 --------- d-----w C:\Users\Maria\AppData\Roaming\Symantec

2008-05-20 15:11 1,860 --sha-r C:\Windows\system32\drivers\103C_HP_CPC_KQ291AA-ABF a6442.fr_YC_0Pavi_QCZX811_E82FRv3PrA2_49_IBenicia_SPEGATRON CORPORATION_V1.01_B5.21_T080226_WUH0_L40C_M3327_J500_7Intel_8Core2 Quad Q6600_92.4_#080520_N10EC8168_Z_G10DE0402.MRK

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Modles

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Menu Dmarrer

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Favoris

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Bureau

2008-05-20 15:06 --------- d-sh--w C:\Program Files\Fichiers communs

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les lments vides & les lments initiaux lgitimes ne sont pas lists

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 09:36 2153472 C:\Windows\System32\oobefldr.dll]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 17:01 65536]

"HP Software Update"="c:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 17:24 54840]

"PivotSoftware"="C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 12:17 694008]

"DT HPW"="C:\Program Files\Portrait Displays\HP My Display\DTHtml.exe" [2007-04-25 12:36 280064]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

"NvSvc"="C:\Windows\system32\nvsvc.dll" [2008-01-10 19:57 92704]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-01-10 19:57 8530464]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-01-10 19:57 88608]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3codecp"= l3codecp.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{75A17761-2020-4940-A3E6-FA94A2C0DA55}"= c:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector

"TCP Query User{A55FCF0A-BA9E-4AEB-B0FE-18CC73484570}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent

"UDP Query User{7DED250B-EE4F-4CAD-B164-B6FC82DAB67A}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent

"{E9D1AB52-B81F-4B86-A864-4CE075EBC54C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"TCP Query User{556191F4-757C-480C-8EC2-132480522EA5}C:\\program files\\steam\\steamapps\\scarface001\\day of defeat source\\hl2.exe"= UDP:C:\program files\steam\steamapps\scarface001\day of defeat source\hl2.exe:hl2

"UDP Query User{4BE8F5F4-3C28-4C0F-B36C-0A25581633FA}C:\\program files\\steam\\steamapps\\scarface001\\day of defeat source\\hl2.exe"= TCP:C:\program files\steam\steamapps\scarface001\day of defeat source\hl2.exe:hl2

"{292EF4C8-DF31-4085-8BAB-761E3D232FDB}"= UDP:C:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:Sid Meier's Civilization 4

"{B0696A48-0E68-4029-BCFB-1FFEC9CF91E7}"= TCP:C:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:Sid Meier's Civilization 4

"{EF90865D-0FBD-419D-8A58-989036C187FE}"= C:\Program Files\Skype\Phone\Skype.exe:Skype

"TCP Query User{5037BA96-9B8E-43FF-95FB-E49ED6B430DC}C:\\program files\\ultravnc\\winvnc.exe"= UDP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"UDP Query User{92C74718-2227-47E2-843E-47FD518E41AE}C:\\program files\\ultravnc\\winvnc.exe"= TCP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"TCP Query User{1AEA9516-3477-4365-8DF8-4805502E5644}C:\\program files\\steam\\steamapps\\scarface001\\counter-strike\\hl.exe"= UDP:C:\program files\steam\steamapps\scarface001\counter-strike\hl.exe:Half-Life Launcher

"UDP Query User{E9A7D6EA-50E1-4391-B910-3506AD43446B}C:\\program files\\steam\\steamapps\\scarface001\\counter-strike\\hl.exe"= TCP:C:\program files\steam\steamapps\scarface001\counter-strike\hl.exe:Half-Life Launcher

"{24BD1FB8-51C4-414F-AC44-17CCF728D4F4}"= Disabled:UDP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10

"{CBB6BDBA-8150-46B5-AD15-2606BBE35633}"= Disabled:TCP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10

"{6E3EA6D8-B6F8-4F07-B4EA-1627DAB8C7C7}"= Disabled:UDP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9

"{390A309A-86AC-4C1B-ACC0-3436762338BA}"= Disabled:TCP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9

"{503596DE-DA9C-43A5-9193-FA11D34FE948}"= Disabled:UDP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update

"{182DC1B1-EC90-49B2-A15B-4D359439B31F}"= Disabled:TCP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update

"{A68A133A-9892-4689-8867-9EA5436B1D0F}"= UDP:1337:utorrent

"{336B3ED7-B052-49A1-ADFD-A699F653AA1A}"= TCP:1337:utorrent

"TCP Query User{B60720B3-8786-484C-85AC-E03DC0B327A2}C:\\program files\\ultravnc\\winvnc.exe"= UDP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"UDP Query User{6E963236-37CC-4E74-9770-A132723B479C}C:\\program files\\ultravnc\\winvnc.exe"= TCP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"{05CD9BF5-E462-428B-9EB1-738FA8BF030F}"= UDP:C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe:VoipBuster

"{0030BD18-46DC-4B93-B056-E67E23365C96}"= TCP:C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe:VoipBuster

"TCP Query User{21EAB90A-4783-44E2-BC5B-D9868841F2DF}C:\\program files\\realvnc\\vnc4\\winvnc4.exe"= UDP:C:\program files\realvnc\vnc4\winvnc4.exe:VNC Server Free Edition for Win32

"UDP Query User{1649D211-CC8D-4213-B046-884642F3F41A}C:\\program files\\realvnc\\vnc4\\winvnc4.exe"= TCP:C:\program files\realvnc\vnc4\winvnc4.exe:VNC Server Free Edition for Win32

 

R2 UxTuneUp;TuneUp Extension de thme;C:\Windows\System32\svchost.exe [2008-01-19 09:33]

R2 vnccom;vnccom;C:\Windows\system32\Drivers\vnccom.SYS [2004-06-26 13:22]

S3 GameConsoleService;GameConsoleService;C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe [2007-07-24 01:33]

S3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2008-06-20 00:22]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-07-01 22:01]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{587b09d5-f2b6-11dc-8b65-806e6f6e6963}]

\shell\AutoRun\command - F:\autorun.exe

 

*Newly Created Service* - CATCHME

.

Contenu du dossier 'Scheduled Tasks/Tches planifies'

"2008-07-06 15:00:00 C:\Windows\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe

"2008-07-06 15:20:19 C:\Windows\Tasks\User_Feed_Synchronization-{2D346548-E344-4CFD-A083-A54C10CBB26D}.job"

- C:\Windows\system32\msfeedssync.exe

.

- - - - ORPHANS REMOVED - - - -

 

WebBrowser-{C46F137F-2C2A-4714-AA14-323137F882AE} - (no file)

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-06 17:19:57

Windows 6.0.6001 Service Pack 1 NTFS

 

Balayage processus cachs ...

 

[0] 0x00000011

 

Balayage cach autostart entries ...

 

Balayage des fichiers cachs ...

 

Scan termin avec succs

Les fichiers cachs: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-07-06 17:20:43

ComboFix-quarantined-files.txt 2008-07-06 15:20:40

 

Pre-Run: 394,471,010,304 octets libres

Post-Run: 394,441,801,728 octets libres

 

251 --- E O F --- 2008-07-02 09:43:00

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Super. :P

 

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Parcours tes dossiers jusque à ce fichier, si tu le trouves :

  • C:\Windows\System32\authuitu.dll

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

fragme Power Member

fragme

Posté(e)
  • Auteur
Posté(e)

voici le resultat de l'analyse sur du fichier sur VirusTotal

 

Fichier authuitu.dll reu le 2008.07.06 18:06:25 (CET)

Antivirus Version Dernire mise jour Rsultat

AhnLab-V3 2008.7.4.1 2008.07.05 -

AntiVir 7.8.0.64 2008.07.05 -

Authentium 5.1.0.4 2008.07.06 -

Avast 4.8.1195.0 2008.07.05 -

AVG 7.5.0.516 2008.07.06 -

BitDefender 7.2 2008.07.06 -

CAT-QuickHeal 9.50 2008.07.04 -

ClamAV 0.93.1 2008.07.06 -

DrWeb 4.44.0.09170 2008.07.06 -

eSafe 7.0.17.0 2008.07.03 -

eTrust-Vet 31.6.5929 2008.07.05 -

Ewido 4.0 2008.07.06 -

F-Prot 4.4.4.56 2008.07.06 -

F-Secure 7.60.13501.0 2008.07.03 -

Fortinet 3.14.0.0 2008.07.06 -

GData 2.0.7306.1023 2008.07.06 -

Ikarus T3.1.1.26.0 2008.07.06 -

Kaspersky 7.0.0.125 2008.07.06 -

McAfee 5332 2008.07.04 -

Microsoft 1.3704 2008.07.06 -

NOD32v2 3244 2008.07.05 -

Norman 5.80.02 2008.07.04 -

Panda 9.0.0.4 2008.07.06 -

Prevx1 V2 2008.07.06 -

Rising 20.51.60.00 2008.07.06 -

Sophos 4.31.0 2008.07.06 -

Sunbelt 3.1.1509.1 2008.07.04 -

Symantec 10 2008.07.06 -

TheHacker 6.2.96.373 2008.07.05 -

TrendMicro 8.700.0.1004 2008.07.05 -

VBA32 3.12.6.8 2008.07.06 -

VirusBuster 4.5.11.0 2008.07.05 -

Webwasher-Gateway 6.6.2 2008.07.05 -

Information additionnelle

File size: 16640 bytes

MD5...: f9c6119209de8c550e5d8e7b59d58f9d

SHA1..: b7fecb0f95ed28f2cad528bdc222f43726053dd5

SHA256: 3bd2e015067fe5332eb555c24b3194a4ab21a6e4a0d8b4c521d48a5d7e9b4b21

SHA512: 33f43b5baf8cb7490f3d1f95c65a4028c773bda31b799e1a145d362d6060fcb8<br>68aa5baa3742a5d362ffa4e88bfa7e24daf6c7ed7b23f1edfd4028a309d9a266

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x556811b0<br>timedatestamp.....: 0x483d1392 (Wed May 28 08:10:58 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x14b0 0x1600 5.93 74cbf22b1b6761ef6f1ef2fcb04f4ac9<br>.rdata 0x3000 0x7b9 0x800 4.66 e608d52d2bb5f9c181e03bcfb40c4b0c<br>.data 0x4000 0x34 0x200 0.22 a5280fcc22b85cfdbdb325cfd573430c<br>.rsrc 0x5000 0x370 0x400 2.86 32d75cbc20a6ab57a62e80859856d2f3<br>.reloc 0x6000 0x230 0x400 3.50 c114ea54668195d5ef76766d9fb15ed4<br><br>( 4 imports ) <br>> dbghelp.dll: ImageDirectoryEntryToData<br>> KERNEL32.dll: FindFirstFileW, GetModuleFileNameW, GetLastError, GetModuleHandleExW, ExpandEnvironmentStringsW, MoveFileExW, GetTempFileNameW, GetSystemDirectoryW, DeleteFileW, SetFileAttributesW, FindClose, VirtualQuery, FindResourceW, SizeofResource, LoadResource, FlushInstructionCache, GetCurrentProcess, VirtualProtect, IsBadReadPtr, LoadLibraryExW, InterlockedDecrement, InterlockedIncrement, lstrcmpiW, SetLastError, DisableThreadLibraryCalls, LoadLibraryW, GetProcAddress, FreeLibrary, CopyFileW<br>> USER32.dll: GetSystemMetrics<br>> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegSetValueExW, RegDeleteValueW, RegDeleteKeyW<br><br>( 4 exports ) <br>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<br>

 

Antivirus Version Dernire mise jour Rsultat

AhnLab-V3 2008.7.4.1 2008.07.05 -

AntiVir 7.8.0.64 2008.07.05 -

Authentium 5.1.0.4 2008.07.06 -

Avast 4.8.1195.0 2008.07.05 -

AVG 7.5.0.516 2008.07.06 -

BitDefender 7.2 2008.07.06 -

CAT-QuickHeal 9.50 2008.07.04 -

ClamAV 0.93.1 2008.07.06 -

DrWeb 4.44.0.09170 2008.07.06 -

eSafe 7.0.17.0 2008.07.03 -

eTrust-Vet 31.6.5929 2008.07.05 -

Ewido 4.0 2008.07.06 -

F-Prot 4.4.4.56 2008.07.06 -

F-Secure 7.60.13501.0 2008.07.03 -

Fortinet 3.14.0.0 2008.07.06 -

GData 2.0.7306.1023 2008.07.06 -

Ikarus T3.1.1.26.0 2008.07.06 -

Kaspersky 7.0.0.125 2008.07.06 -

McAfee 5332 2008.07.04 -

Microsoft 1.3704 2008.07.06 -

NOD32v2 3244 2008.07.05 -

Norman 5.80.02 2008.07.04 -

Panda 9.0.0.4 2008.07.06 -

Prevx1 V2 2008.07.06 -

Rising 20.51.60.00 2008.07.06 -

Sophos 4.31.0 2008.07.06 -

Sunbelt 3.1.1509.1 2008.07.04 -

Symantec 10 2008.07.06 -

TheHacker 6.2.96.373 2008.07.05 -

TrendMicro 8.700.0.1004 2008.07.05 -

VBA32 3.12.6.8 2008.07.06 -

VirusBuster 4.5.11.0 2008.07.05 -

Webwasher-Gateway 6.6.2 2008.07.05 -

 

Information additionnelle

File size: 16640 bytes

MD5...: f9c6119209de8c550e5d8e7b59d58f9d

SHA1..: b7fecb0f95ed28f2cad528bdc222f43726053dd5

SHA256: 3bd2e015067fe5332eb555c24b3194a4ab21a6e4a0d8b4c521d48a5d7e9b4b21

SHA512: 33f43b5baf8cb7490f3d1f95c65a4028c773bda31b799e1a145d362d6060fcb8<br>68aa5baa3742a5d362ffa4e88bfa7e24daf6c7ed7b23f1edfd4028a309d9a266

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x556811b0<br>timedatestamp.....: 0x483d1392 (Wed May 28 08:10:58 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x14b0 0x1600 5.93 74cbf22b1b6761ef6f1ef2fcb04f4ac9<br>.rdata 0x3000 0x7b9 0x800 4.66 e608d52d2bb5f9c181e03bcfb40c4b0c<br>.data 0x4000 0x34 0x200 0.22 a5280fcc22b85cfdbdb325cfd573430c<br>.rsrc 0x5000 0x370 0x400 2.86 32d75cbc20a6ab57a62e80859856d2f3<br>.reloc 0x6000 0x230 0x400 3.50 c114ea54668195d5ef76766d9fb15ed4<br><br>( 4 imports ) <br>> dbghelp.dll: ImageDirectoryEntryToData<br>> KERNEL32.dll: FindFirstFileW, GetModuleFileNameW, GetLastError, GetModuleHandleExW, ExpandEnvironmentStringsW, MoveFileExW, GetTempFileNameW, GetSystemDirectoryW, DeleteFileW, SetFileAttributesW, FindClose, VirtualQuery, FindResourceW, SizeofResource, LoadResource, FlushInstructionCache, GetCurrentProcess, VirtualProtect, IsBadReadPtr, LoadLibraryExW, InterlockedDecrement, InterlockedIncrement, lstrcmpiW, SetLastError, DisableThreadLibraryCalls, LoadLibraryW, GetProcAddress, FreeLibrary, CopyFileW<br>> USER32.dll: GetSystemMetrics<br>> ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegSetValueExW, RegDeleteValueW, RegDeleteKeyW<br><br>( 4 exports ) <br>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<br>

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

  • Ouvre le bloc notes. Copie colle ceci dedans :

 

Suspect::

C:\Windows\System32\authuitu.dll

C:\Windows\System32\'

 

File::

C:\Windows\System32\tmp.reg

 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=-

 

  • Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
     
  • Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

CFScript.gif

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 

** Le script va créer sur ton bureau et des fichiers html un zip contenant authuitu.dll, c'est normal, ne les efface pas. **

fragme Power Member

fragme

Posté(e)
  • Auteur
Posté(e) (modifié)

voila analyse terminée :P (petite note j'ai le net mais firefox et IE ne se connecte pas sur internet)

 

ComboFix 08-07-05.1 - Maria 2008-07-06 18:46:22.2 - NTFSx86

Microsoft Windows Vista dition Familiale Premium 6.0.6001.1.1252.1.1036.18.2278 [GMT 2:00]

Endroit: C:\Users\Maria\Desktop\ComboFix.exe

Command switches used :: C:\Users\Maria\Desktop\CFScript.txt

* Cration d'un nouveau point de restauration

 

FILE ::

C:\Windows\System32\tmp.reg

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Windows\System32\tmp.reg

 

.

((((((((((((((((((((((((((((( Fichiers crs 2008-06-06 to 2008-07-06 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-06 16:14 . 2008-07-06 16:14 <REP> d-------- C:\Deckard

2008-07-06 15:02 . 2008-07-06 15:02 691 --a------ C:\Users\Maria\AppData\Roaming\GetValue.vbs

2008-07-06 15:02 . 2008-07-06 15:02 35 --a------ C:\Users\Maria\AppData\Roaming\SetValue.bat

2008-07-06 14:54 . 2007-09-06 00:22 289,144 --a------ C:\Windows\System32\VCCLSID.exe

2008-07-06 14:54 . 2006-04-27 17:49 288,417 --a------ C:\Windows\System32\SrchSTS.exe

2008-07-06 14:54 . 2008-05-29 09:35 86,528 --a------ C:\Windows\System32\VACFix.exe

2008-07-06 14:54 . 2008-05-18 21:40 82,944 --a------ C:\Windows\System32\IEDFix.exe

2008-07-06 14:54 . 2008-07-02 13:33 82,432 --a------ C:\Windows\System32\IEDFix.C.exe

2008-07-06 14:54 . 2008-05-23 18:21 81,920 --a------ C:\Windows\System32\404Fix.exe

2008-07-06 14:54 . 2003-06-05 21:13 53,248 --a------ C:\Windows\System32\Process.exe

2008-07-06 14:54 . 2004-07-31 18:50 51,200 --a------ C:\Windows\System32\dumphive.exe

2008-07-06 14:54 . 2007-10-04 00:36 25,600 --a------ C:\Windows\System32\WS2Fix.exe

2008-07-06 09:15 . 2008-07-06 09:15 1,130 --a------ C:\Windows\wininit.ini

2008-07-06 08:34 . 2008-07-06 09:16 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy

2008-07-06 08:34 . 2008-07-06 09:16 <REP> d-------- C:\ProgramData\Spybot - Search & Destroy

2008-07-06 08:34 . 2008-07-06 08:34 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-07-06 07:11 . 2008-07-06 08:30 <REP> d-------- C:\Program Files\WAV

2008-07-04 00:40 . 2008-07-04 00:40 56 --ah----- C:\Windows\System32\ezsidmv.dat

2008-07-03 09:29 . 2008-07-03 09:29 <REP> d-------- C:\Windows\System32\Nexus Radio

2008-07-03 09:29 . 2008-07-06 07:48 <REP> d-------- C:\Program Files\Nexus Radio

2008-07-03 09:29 . 2008-07-03 13:14 <REP> d-------- C:\My Recorded Files

2008-07-03 00:54 . 2008-07-03 00:57 <REP> d-------- C:\Users\Maria\AppData\Roaming\VoipBuster

2008-07-02 23:08 . 2008-07-02 23:08 <REP> d-------- C:\Users\Maria\AppData\Roaming\WinBatch

2008-07-02 22:23 . 2008-07-02 22:58 <REP> d-------- C:\Users\Maria\AppData\Roaming\Hamachi

2008-07-02 22:23 . 2008-07-02 22:23 <REP> d-------- C:\Program Files\Hamachi

2008-07-02 22:23 . 2008-07-02 22:23 25,280 --a------ C:\Windows\System32\drivers\hamachi.sys

2008-07-02 12:17 . 2008-07-02 12:17 <REP> d-------- C:\PerfLogs

2008-07-02 11:52 . 2008-07-02 12:09 <REP> d-------- C:\Users\Maria\AppData\Roaming\FileZilla

2008-07-02 11:51 . 2008-07-02 11:51 <REP> d-------- C:\Program Files\FileZilla FTP Client

2008-07-02 11:34 . 2008-07-02 11:34 <REP> d-------- C:\Program Files\Trend Micro

2008-07-02 11:24 . 2008-07-02 11:24 <REP> d-------- C:\Program Files\CodeStuff

2008-07-02 00:42 . 2008-07-06 05:41 <REP> d-------- C:\Program Files\World of Warcraft

2008-07-01 22:01 . 2008-07-01 22:01 <REP> d-------- C:\Users\Maria\AppData\Roaming\TuneUp Software

2008-07-01 22:01 . 2008-07-01 22:01 355,584 --a------ C:\Windows\System32\TuneUpDefragService.exe

2008-07-01 22:01 . 2008-05-29 09:28 28,416 --a------ C:\Windows\System32\uxtuneup.dll

2008-07-01 22:01 . 2008-05-29 09:28 16,640 --a------ C:\Windows\System32\authuitu.dll

2008-07-01 22:00 . 2008-07-01 22:00 <REP> d-------- C:\Users\All Users\TuneUp Software

2008-07-01 22:00 . 2008-07-01 22:00 <REP> d-------- C:\ProgramData\TuneUp Software

2008-07-01 22:00 . 2008-07-01 22:01 <REP> d-------- C:\Program Files\TuneUp Utilities 2008

2008-07-01 21:42 . 2008-07-01 21:42 <REP> d-------- C:\Program Files\Common Files\Wise Installation Wizard

2008-07-01 17:22 . 2008-07-01 17:22 <REP> d-------- C:\Users\All Users\Avira

2008-07-01 17:22 . 2008-07-01 17:22 <REP> d-------- C:\ProgramData\Avira

2008-07-01 17:22 . 2008-07-01 17:22 <REP> d-------- C:\Program Files\Avira

2008-07-01 16:29 . 2008-07-05 19:01 <REP> d-------- C:\Program Files\Unlocker

2008-07-01 05:48 . 2004-06-26 13:22 6,016 --a------ C:\Windows\System32\drivers\vnccom.SYS

2008-07-01 05:48 . 2008-07-01 05:48 17 --a------ C:\Windows\System32\'

2008-07-01 05:47 . 2008-07-02 23:03 <REP> d-------- C:\Program Files\UltraVNC

2008-07-01 05:47 . 2005-06-10 22:02 12,800 --a------ C:\Windows\System32\vncdrv.dll

2008-07-01 05:47 . 2004-06-26 13:21 5,760 --a------ C:\Windows\System32\vnchelp.dll

2008-07-01 05:47 . 2004-06-26 13:22 4,736 --a------ C:\Windows\System32\drivers\vncdrv.sys

2008-06-29 06:00 . 2008-07-02 00:43 <REP> d-------- C:\Program Files\Common Files\Blizzard Entertainment

2008-06-29 01:11 . 2008-06-29 01:11 <REP> d-------- C:\Program Files\RealVNC

2008-06-14 19:00 . 2008-04-23 06:42 428,544 --a------ C:\Windows\System32\EncDec.dll

2008-06-14 19:00 . 2008-04-23 06:42 293,376 --a------ C:\Windows\System32\psisdecd.dll

2008-06-14 19:00 . 2008-04-23 06:41 218,624 --a------ C:\Windows\System32\psisrndr.ax

2008-06-14 19:00 . 2008-01-19 09:33 80,896 --a------ C:\Windows\System32\MSNP.ax

2008-06-14 19:00 . 2008-01-19 09:33 69,632 --a------ C:\Windows\System32\Mpeg2Data.ax

2008-06-14 19:00 . 2008-04-23 06:41 57,856 --a------ C:\Windows\System32\MSDvbNP.ax

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\Users\Public\CyberLink

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\Users\Maria\AppData\Roaming\CyberLink

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\Users\All Users\CyberLink

2008-06-12 01:54 . 2008-06-12 01:54 <REP> d-------- C:\ProgramData\CyberLink

2008-06-11 00:18 . 2008-04-25 04:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb

2008-06-11 00:18 . 2008-04-26 10:08 1,314,816 --a------ C:\Windows\System32\quartz.dll

2008-06-11 00:18 . 2008-04-25 06:35 826,880 --a------ C:\Windows\System32\wininet.dll

2008-06-11 00:18 . 2008-05-10 03:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys

2008-06-08 03:02 . 2008-06-08 03:02 293,291,340 --a------ C:\Windows\MEMORY.DMP

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-06 16:33 --------- d-----w C:\Users\Maria\AppData\Roaming\Skype

2008-07-06 14:58 174 --sha-w C:\Program Files\desktop.ini

2008-07-06 14:51 --------- d-----w C:\Users\Maria\AppData\Roaming\uTorrent

2008-07-06 14:06 --------- d-----w C:\Users\Maria\AppData\Roaming\skypePM

2008-07-06 05:44 --------- d-----w C:\Users\Maria\AppData\Roaming\DMCache

2008-07-03 09:32 --------- d-----w C:\Program Files\Google

2008-07-02 21:34 --------- d-----w C:\ProgramData\NVIDIA

2008-07-02 19:51 --------- d-----w C:\Program Files\Steam

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Sidebar

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Photo Gallery

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Mail

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Journal

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Defender

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Collaboration

2008-07-02 10:21 --------- d-----w C:\Program Files\Windows Calendar

2008-07-02 09:41 82,432 ----a-w C:\Windows\System32\axaltocm.dll

2008-07-02 09:41 101,888 ----a-w C:\Windows\System32\ifxcardm.dll

2008-07-02 05:24 --------- d-----w C:\Program Files\Internet Download Manager

2008-06-24 11:36 --------- d-----w C:\Program Files\Common Files\Steam

2008-06-13 17:43 --------- d-----w C:\Users\Maria\AppData\Roaming\IDM

2008-06-07 17:06 --------- d-----w C:\Program Files\Windows Live

2008-06-07 17:04 --------- d-----w C:\ProgramData\WLInstaller

2008-06-01 00:17 --------- d-----w C:\ProgramData\Skype

2008-06-01 00:17 --------- d-----w C:\Program Files\Skype

2008-06-01 00:17 --------- d-----w C:\Program Files\Common Files\Skype

2008-05-31 23:25 --------- d-----w C:\Users\Maria\AppData\Roaming\My Games

2008-05-31 23:20 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-05-31 23:20 --------- d-----w C:\Program Files\Firaxis Games

2008-05-23 20:27 --------- d-----w C:\Users\Maria\AppData\Roaming\Ubisoft

2008-05-23 20:15 --------- d-----w C:\ProgramData\Ubisoft

2008-05-23 19:10 --------- d-----w C:\Users\Maria\AppData\Roaming\InstallShield

2008-05-23 19:10 --------- d-----w C:\Program Files\Ubisoft

2008-05-23 18:47 --------- d-----w C:\Program Files\DAEMON Tools Lite

2008-05-23 18:44 717,296 ----a-w C:\Windows\system32\drivers\sptd.sys

2008-05-23 18:44 --------- d-----w C:\Users\Maria\AppData\Roaming\DAEMON Tools

2008-05-23 13:48 --------- d-----w C:\Users\Maria\AppData\Roaming\SystemRequirementsLab

2008-05-23 13:48 --------- d-----w C:\Program Files\SystemRequirementsLab

2008-05-21 09:49 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller

2008-05-21 07:23 --------- d-----w C:\Users\Maria\AppData\Roaming\WildTangent

2008-05-21 07:23 --------- d-----w C:\ProgramData\WildTangent

2008-05-21 03:32 --------- d-----w C:\Program Files\uTorrent

2008-05-21 01:25 --------- d-----w C:\Program Files\EasyBits For Kids

2008-05-21 01:14 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-05-21 01:06 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys

2008-05-21 01:05 988,216 ----a-w C:\Windows\System32\winload.exe

2008-05-21 01:05 927,288 ----a-w C:\Windows\System32\winresume.exe

2008-05-21 01:05 615,992 ----a-w C:\Windows\System32\ci.dll

2008-05-21 01:05 6,656 ----a-w C:\Windows\System32\kbd106n.dll

2008-05-21 01:05 46,592 ----a-w C:\Windows\System32\setbcdlocale.dll

2008-05-21 01:05 40,960 ----a-w C:\Windows\System32\srclient.dll

2008-05-21 01:05 378,368 ----a-w C:\Windows\System32\srcore.dll

2008-05-21 01:05 318,464 ----a-w C:\Windows\System32\rstrui.exe

2008-05-21 01:05 19,000 ----a-w C:\Windows\System32\kd1394.dll

2008-05-21 01:05 14,848 ----a-w C:\Windows\System32\srdelayed.exe

2008-05-21 01:04 295,936 ----a-w C:\Windows\System32\gdi32.dll

2008-05-21 01:04 2,032,128 ----a-w C:\Windows\System32\win32k.sys

2008-05-20 21:38 --------- d-----w C:\Program Files\Codemasters

2008-05-20 15:49 --------- d-----w C:\Program Files\Portrait Displays

2008-05-20 15:49 --------- d-----w C:\Program Files\Common Files\Portrait Displays

2008-05-20 15:37 --------- d-----w C:\ProgramData\Symantec

2008-05-20 15:32 --------- d-----w C:\Users\Maria\AppData\Roaming\teamspeak2

2008-05-20 15:32 --------- d-----w C:\Program Files\Teamspeak2_RC2

2008-05-20 15:29 --------- d-----w C:\Users\Maria\AppData\Roaming\Hewlett-Packard

2008-05-20 15:29 --------- d-----w C:\ProgramData\Hewlett-Packard

2008-05-20 15:28 --------- d-----w C:\Users\Maria\AppData\Roaming\Symantec

2008-05-20 15:11 1,860 --sha-r C:\Windows\system32\drivers\103C_HP_CPC_KQ291AA-ABF a6442.fr_YC_0Pavi_QCZX811_E82FRv3PrA2_49_IBenicia_SPEGATRON CORPORATION_V1.01_B5.21_T080226_WUH0_L40C_M3327_J500_7Intel_8Core2 Quad Q6600_92.4_#080520_N10EC8168_Z_G10DE0402.MRK

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Modles

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Menu Dmarrer

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Favoris

2008-05-20 15:06 --------- d-sh--w C:\ProgramData\Bureau

2008-05-20 15:06 --------- d-sh--w C:\Program Files\Fichiers communs

.

 

((((((((((((((((((((((((((((( snapshot@2008-07-06_17.20.16,26 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-07-06 15:19:44 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-07-06 16:47:22 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-07-06 16:47:22 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1

- 2008-07-06 13:53:15 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-07-06 15:23:13 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2008-07-06 13:53:15 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2008-07-06 15:23:13 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2008-07-06 13:53:15 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2008-07-06 15:23:13 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les lments vides & les lments initiaux lgitimes ne sont pas lists

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 09:36 2153472 C:\Windows\System32\oobefldr.dll]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 17:01 65536]

"HP Software Update"="c:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 17:24 54840]

"PivotSoftware"="C:\Program Files\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 12:17 694008]

"DT HPW"="C:\Program Files\Portrait Displays\HP My Display\DTHtml.exe" [2007-04-25 12:36 280064]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

"NvSvc"="C:\Windows\system32\nvsvc.dll" [2008-01-10 19:57 92704]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-01-10 19:57 8530464]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-01-10 19:57 88608]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3codecp"= l3codecp.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{75A17761-2020-4940-A3E6-FA94A2C0DA55}"= c:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector

"TCP Query User{A55FCF0A-BA9E-4AEB-B0FE-18CC73484570}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent

"UDP Query User{7DED250B-EE4F-4CAD-B164-B6FC82DAB67A}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent

"{E9D1AB52-B81F-4B86-A864-4CE075EBC54C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"TCP Query User{556191F4-757C-480C-8EC2-132480522EA5}C:\\program files\\steam\\steamapps\\scarface001\\day of defeat source\\hl2.exe"= UDP:C:\program files\steam\steamapps\scarface001\day of defeat source\hl2.exe:hl2

"UDP Query User{4BE8F5F4-3C28-4C0F-B36C-0A25581633FA}C:\\program files\\steam\\steamapps\\scarface001\\day of defeat source\\hl2.exe"= TCP:C:\program files\steam\steamapps\scarface001\day of defeat source\hl2.exe:hl2

"{292EF4C8-DF31-4085-8BAB-761E3D232FDB}"= UDP:C:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:Sid Meier's Civilization 4

"{B0696A48-0E68-4029-BCFB-1FFEC9CF91E7}"= TCP:C:\Program Files\Firaxis Games\Sid Meier's Civilization 4\Civilization4.exe:Sid Meier's Civilization 4

"{EF90865D-0FBD-419D-8A58-989036C187FE}"= C:\Program Files\Skype\Phone\Skype.exe:Skype

"TCP Query User{5037BA96-9B8E-43FF-95FB-E49ED6B430DC}C:\\program files\\ultravnc\\winvnc.exe"= UDP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"UDP Query User{92C74718-2227-47E2-843E-47FD518E41AE}C:\\program files\\ultravnc\\winvnc.exe"= TCP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"TCP Query User{1AEA9516-3477-4365-8DF8-4805502E5644}C:\\program files\\steam\\steamapps\\scarface001\\counter-strike\\hl.exe"= UDP:C:\program files\steam\steamapps\scarface001\counter-strike\hl.exe:Half-Life Launcher

"UDP Query User{E9A7D6EA-50E1-4391-B910-3506AD43446B}C:\\program files\\steam\\steamapps\\scarface001\\counter-strike\\hl.exe"= TCP:C:\program files\steam\steamapps\scarface001\counter-strike\hl.exe:Half-Life Launcher

"{24BD1FB8-51C4-414F-AC44-17CCF728D4F4}"= Disabled:UDP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10

"{CBB6BDBA-8150-46B5-AD15-2606BBE35633}"= Disabled:TCP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10

"{6E3EA6D8-B6F8-4F07-B4EA-1627DAB8C7C7}"= Disabled:UDP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9

"{390A309A-86AC-4C1B-ACC0-3436762338BA}"= Disabled:TCP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9

"{503596DE-DA9C-43A5-9193-FA11D34FE948}"= Disabled:UDP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update

"{182DC1B1-EC90-49B2-A15B-4D359439B31F}"= Disabled:TCP:C:\Program Files\Ubisoft\Assassin's Creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update

"{A68A133A-9892-4689-8867-9EA5436B1D0F}"= UDP:1337:utorrent

"{336B3ED7-B052-49A1-ADFD-A699F653AA1A}"= TCP:1337:utorrent

"TCP Query User{B60720B3-8786-484C-85AC-E03DC0B327A2}C:\\program files\\ultravnc\\winvnc.exe"= UDP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"UDP Query User{6E963236-37CC-4E74-9770-A132723B479C}C:\\program files\\ultravnc\\winvnc.exe"= TCP:C:\program files\ultravnc\winvnc.exe:VNC server for Win32

"{05CD9BF5-E462-428B-9EB1-738FA8BF030F}"= UDP:C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe:VoipBuster

"{0030BD18-46DC-4B93-B056-E67E23365C96}"= TCP:C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe:VoipBuster

"TCP Query User{21EAB90A-4783-44E2-BC5B-D9868841F2DF}C:\\program files\\realvnc\\vnc4\\winvnc4.exe"= UDP:C:\program files\realvnc\vnc4\winvnc4.exe:VNC Server Free Edition for Win32

"UDP Query User{1649D211-CC8D-4213-B046-884642F3F41A}C:\\program files\\realvnc\\vnc4\\winvnc4.exe"= TCP:C:\program files\realvnc\vnc4\winvnc4.exe:VNC Server Free Edition for Win32

"TCP Query User{30715B28-0C01-4D08-9A0C-933C399228EA}C:\\program files\\realvnc\\vnc4\\winvnc4.exe"= UDP:C:\program files\realvnc\vnc4\winvnc4.exe:VNC Server Free Edition for Win32

"UDP Query User{9F29374A-C759-48BB-AF69-F2354EF99133}C:\\program files\\realvnc\\vnc4\\winvnc4.exe"= TCP:C:\program files\realvnc\vnc4\winvnc4.exe:VNC Server Free Edition for Win32

 

R2 UxTuneUp;TuneUp Extension de thme;C:\Windows\System32\svchost.exe [2008-01-19 09:33]

R2 vnccom;vnccom;C:\Windows\system32\Drivers\vnccom.SYS [2004-06-26 13:22]

S3 GameConsoleService;GameConsoleService;C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe [2007-07-24 01:33]

S3 Steam Client Service;Steam Client Service;C:\Program Files\Common Files\Steam\SteamService.exe [2008-06-20 00:22]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-07-01 22:01]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{587b09d5-f2b6-11dc-8b65-806e6f6e6963}]

\shell\AutoRun\command - F:\autorun.exe

 

*Newly Created Service* - CATCHME

.

Contenu du dossier 'Scheduled Tasks/Tches planifies'

"2008-07-06 16:00:00 C:\Windows\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe

"2008-07-06 16:45:03 C:\Windows\Tasks\User_Feed_Synchronization-{2D346548-E344-4CFD-A083-A54C10CBB26D}.job"

- C:\Windows\system32\msfeedssync.exe

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-06 18:47:37

Windows 6.0.6001 Service Pack 1 NTFS

 

Balayage processus cachs ...

 

Balayage cach autostart entries ...

 

Balayage des fichiers cachs ...

 

Scan termin avec succs

Les fichiers cachs: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-07-06 18:48:29

ComboFix-quarantined-files.txt 2008-07-06 16:48:27

 

Pre-Run: 379,783,229,440 octets libres

Post-Run: 379,757,449,216 octets libres

 

253 --- E O F --- 2008-07-02 09:43:00

Modifié par fragme
Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

** Le zip et les fichiers html ont bien été créés sur ton bureau ? **

 

 

 

Il se peut que ComboFix (si c'est récent) endommage ta connexion Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

  1. Clique sur le bouton Démarrer.
  2. Clique sur l'option de menu Paramètres.
  3. Clique sur l'option Panneau de configuration.
  4. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
  5. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
  6. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.

img-1738082eeto.png

fragme Power Member

fragme

Posté(e)
  • Auteur
Posté(e)

c'est bon j'ai le net ça fonctionne:) et oui j'ai bien le .zip mais pas de fichier .html

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Le zip contient bien authuitu.dll ?

Peux-tu me donner la taille (en Ko ou Mo) du fichier zip stp ? (clic droit, propriétés)

fragme Power Member

fragme

Posté(e)
  • Auteur
Posté(e)

oui l'archive fait 15ko et j'ai le fichier "Suspect_authuitu.dll.vir" puis d'autre fichier avec un dossier aussi

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...