Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus-Alert

philou4130

Par philou4130
dans Analyses et éradication malwares

 Partager

Messages recommandés

philou4130 Power Member

philou4130

Posté(e)
Posté(e)

Bonsoir ou bonjour à tous.

 

 

Je viens de connaître un problème similaire à celui de Zeupa - forum.zebulon.fr/virus-alert-t147660.html - . Attaque virulente qui m'oriente vers un site vendant des anti-malwares qui a rendu l'accès à la restauration système impossible, de même l'accès à la liste des programmes et au panneau de configuration. (entre autres ...).

 

J'ai appliqué la procédure de Bruce Lee.

 

J'ai exécuté Smitfraud en mode normal puis fait tourner Combofix. Voici les deux rapports.

 

Smitfraud :

 

SmitFraudFix v2.329

 

Rapport fait à 13:57:19,48, lun. 14/07/2008

Executé à partir de C:\Documents and Settings\Ga‚tan\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe

C:\Program Files\Microsoft Windows OneCare Live\winss.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\NotifyPhoneBook.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Program Files\Logitech\QuickCam\Quickcam.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DNA\btdna.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\Documents and Settings\Gaétan\Bureau\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ga‚tan

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ga‚tan\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GATAN~1\Favoris

 

C:\DOCUME~1\GATAN~1\Favoris\Online Security Test.url PRESENT !

C:\DOCUME~1\GATAN~1\Favoris\Error Cleaner.url PRESENT !

C:\DOCUME~1\GATAN~1\Favoris\Privacy Protector.url PRESENT !

C:\DOCUME~1\GATAN~1\Favoris\Spyware?Malware Protection.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

C:\DOCUME~1\GATAN~1\Bureau\Error Cleaner.url PRESENT !

C:\DOCUME~1\GATAN~1\Bureau\Privacy Protector.url PRESENT !

C:\DOCUME~1\GATAN~1\Bureau\Spyware?Malware Protection.url PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

[!] Suspicious: fdxbameg.dll

SSODL: fdxbameg - {7CC90ED4-3034-4048-8C25-4FB96520D6B3}

 

[!] Suspicious: fsrpknov.dll

SSODL: fsrpknov - {330E1F7E-58DB-44C4-AF1D-EEAFD155DC51}

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2D82899C-79FD-45C1-B477-400048AAEA81}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2D82899C-79FD-45C1-B477-400048AAEA81}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{2D82899C-79FD-45C1-B477-400048AAEA81}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

et Combofix :

 

 

ComboFix 08-07-13.12 - Gaétan 2008-07-14 14:06:38.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.151 [GMT 2:00]

Endroit: C:\Documents and Settings\Gaétan\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

* Resident AV is active

 

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\Gaétan\Bureau\Error Cleaner.url

C:\Documents and Settings\Gaétan\Bureau\Privacy Protector.url

C:\Documents and Settings\Gaétan\Bureau\Spyware&Malware Protection.url

C:\Documents and Settings\Gaétan\Favoris\Error Cleaner.url

C:\Documents and Settings\Gaétan\Favoris\Online Security Test.url

C:\Documents and Settings\Gaétan\Favoris\Privacy Protector.url

C:\Documents and Settings\Gaétan\Favoris\Spyware&Malware Protection.url

C:\Documents and Settings\Sophie\Bureau\Error Cleaner.url

C:\Documents and Settings\Sophie\Bureau\Privacy Protector.url

C:\Documents and Settings\Sophie\Bureau\Spyware&Malware Protection.url

C:\Documents and Settings\Sophie\Favoris\Error Cleaner.url

C:\Documents and Settings\Sophie\Favoris\Privacy Protector.url

C:\Documents and Settings\Sophie\Favoris\Spyware&Malware Protection.url

C:\WINDOWS\cookies.ini

C:\WINDOWS\fdxbameg.dll

C:\WINDOWS\fsrpknov.dll

C:\WINDOWS\system32\eNpWvyxx.ini

C:\WINDOWS\system32\eNpWvyxx.ini2

C:\WINDOWS\system32\hoynoc.dll

C:\WINDOWS\system32\kwnexrhy.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mgmpytkq.dll

C:\WINDOWS\system32\yhrxenwk.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-14 to 2008-07-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-14 13:57 . 2008-07-14 13:57 4,046 --a------ C:\WINDOWS\system32\tmp.reg

2008-07-14 13:56 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-07-14 13:56 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-07-14 13:56 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-07-14 13:56 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-07-14 13:56 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe

2008-07-14 13:56 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe

2008-07-14 13:56 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-07-14 13:56 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-07-14 13:56 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-07-13 21:53 . 2008-07-13 21:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-07-13 21:51 . 2008-07-13 22:07 <REP> d-------- C:\Program Files\a-squared Free

2008-07-13 21:42 . 2008-07-13 21:42 <REP> d-------- C:\Program Files\Yahoo!

2008-07-13 21:41 . 2008-07-13 21:42 <REP> d-------- C:\Program Files\CCleaner

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Voisinage r‚seau

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Voisinage d'impression

2008-07-13 20:19 . 2008-03-11 14:43 <REP> d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\ModŠles

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Mes documents

2008-07-13 20:19 . 2008-03-11 15:34 <REP> dr------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Menu D‚marrer

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Favoris

2008-07-13 20:19 . 2008-07-13 21:12 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Bureau

2008-07-13 20:19 . 2008-07-13 20:19 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-07-13 20:06 . 2008-03-11 14:43 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-07-13 20:06 . 2008-03-11 15:34 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-07-13 20:06 . 2008-07-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur

2008-07-13 19:03 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys

2008-07-13 19:03 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys

2008-07-13 19:00 . 2008-05-15 16:15 53,168 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys

2008-07-13 18:51 . 2008-07-13 19:48 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live

2008-07-13 18:48 . 2008-07-13 18:49 <REP> d-------- C:\Program Files\Windows Live Safety Center

2008-07-13 18:24 . 2008-07-13 18:24 <REP> d-------- C:\Documents and Settings\Sophie\Application Data\TmpRecentIcons

2008-07-13 14:13 . 2008-07-13 16:09 <REP> d-------- C:\Temp

2008-07-13 14:10 . 2008-07-13 14:10 <REP> d-------- C:\Program Files\Magicbit

2008-07-12 14:08 . 2008-07-12 14:08 <REP> d-------- C:\Documents and Settings\Sophie\Application Data\EPSON

2008-07-12 14:07 . 2008-07-12 14:24 6,114 --a------ C:\WINDOWS\system32\EPPICResdb0000

2008-07-12 14:07 . 2008-07-12 14:24 117 --a------ C:\WINDOWS\system32\EPPICResdb

2008-07-12 10:55 . 2008-07-12 10:55 268 --ah----- C:\sqmdata19.sqm

2008-07-12 10:55 . 2008-07-12 10:55 244 --ah----- C:\sqmnoopt19.sqm

2008-07-12 09:30 . 2008-07-12 09:30 <REP> d-------- C:\Program Files\MSXML 4.0

2008-07-11 12:18 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll

2008-07-11 12:17 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys

2008-07-11 12:16 . 2008-07-11 12:16 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers

2008-07-11 12:16 . 2008-07-11 12:16 <REP> d-------- C:\Program Files\Samsung

2008-07-11 12:16 . 2007-05-02 11:12 109,704 --a------ C:\WINDOWS\system32\drivers\ssm_mdm.sys

2008-07-11 12:16 . 2007-05-02 11:12 83,592 --a------ C:\WINDOWS\system32\drivers\ssm_bus.sys

2008-07-11 12:16 . 2007-05-02 11:12 15,112 --a------ C:\WINDOWS\system32\drivers\ssm_mdfl.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_whnt.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_wh.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_cmnt.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_cm.sys

2008-07-11 12:16 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-07-04 22:31 . 2008-07-04 22:31 268 --ah----- C:\sqmdata18.sqm

2008-07-04 22:31 . 2008-07-04 22:31 244 --ah----- C:\sqmnoopt18.sqm

2008-07-02 21:36 . 2008-07-02 21:36 268 --ah----- C:\sqmdata17.sqm

2008-07-02 21:36 . 2008-07-02 21:36 244 --ah----- C:\sqmnoopt17.sqm

2008-07-01 23:39 . 2008-07-01 23:39 268 --ah----- C:\sqmdata16.sqm

2008-07-01 23:39 . 2008-07-01 23:39 244 --ah----- C:\sqmnoopt16.sqm

2008-06-30 20:21 . 2008-06-30 20:21 268 --ah----- C:\sqmdata15.sqm

2008-06-30 20:21 . 2008-06-30 20:21 244 --ah----- C:\sqmnoopt15.sqm

2008-06-29 17:02 . 2008-06-29 17:02 268 --ah----- C:\sqmdata14.sqm

2008-06-29 17:02 . 2008-06-29 17:02 244 --ah----- C:\sqmnoopt14.sqm

2008-06-29 14:59 . 2008-06-29 14:59 268 --ah----- C:\sqmdata13.sqm

2008-06-29 14:59 . 2008-06-29 14:59 244 --ah----- C:\sqmnoopt13.sqm

2008-06-22 21:02 . 2008-07-03 18:38 <REP> d-------- C:\WINDOWS\system32\Adobe

2008-06-22 16:11 . 2008-06-22 16:11 268 --ah----- C:\sqmdata12.sqm

2008-06-22 16:11 . 2008-06-22 16:11 244 --ah----- C:\sqmnoopt12.sqm

2008-06-20 22:39 . 2008-06-20 22:39 268 --ah----- C:\sqmdata11.sqm

2008-06-20 22:39 . 2008-06-20 22:39 244 --ah----- C:\sqmnoopt11.sqm

2008-06-20 19:47 . 2008-06-20 19:47 247,808 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 19:47 . 2008-06-20 19:47 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys

2008-06-18 22:10 . 2008-06-18 22:10 268 --ah----- C:\sqmdata10.sqm

2008-06-18 22:10 . 2008-06-18 22:10 244 --ah----- C:\sqmnoopt10.sqm

2008-06-17 21:07 . 2008-06-17 21:07 268 --ah----- C:\sqmdata09.sqm

2008-06-17 21:07 . 2008-06-17 21:07 244 --ah----- C:\sqmnoopt09.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-13 17:45 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs

2008-07-13 17:05 --------- d-----w C:\Program Files\Google

2008-07-11 10:17 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-05-30 11:47 --------- d-----w C:\Program Files\QuickZip4

2008-05-28 13:40 --------- d-----w C:\Program Files\Musicmatch

2008-05-26 15:41 --------- d-----w C:\Program Files\Apple Software Update

2008-05-26 15:39 --------- d-----w C:\Program Files\iTunes

2008-05-26 15:38 --------- d-----w C:\Program Files\iPod

2008-05-26 15:37 --------- d-----w C:\Program Files\QuickTime

2008-05-20 01:09 --------- d-----w C:\Program Files\Fichiers communs\xing shared

2008-05-20 01:08 --------- d-----w C:\Program Files\Real

2008-05-20 01:08 --------- d-----w C:\Program Files\Fichiers communs\Real

2008-05-19 23:55 --------- d-----w C:\Program Files\Microsoft Silverlight

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 19:34 15360]

"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-04 16:28 289088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 12:06 1443072]

"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 06:00 98304]

"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]

"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-05-20 03:08 185896]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

"MMTray"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 13:12 135168]

"mmtask"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 13:12 53248]

"OneCareUI"="C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" [2008-06-25 06:48 67112]

"AME_CSA"="amecsa.cpl" [2002-10-30 04:26 757760 C:\WINDOWS\system32\AmeCSA.cpl]

"VTTimer"="VTTimer.exe" [2004-01-15 06:33 49152 C:\WINDOWS\system32\VTTimer.exe]

"VTTrayp"="VTtrayp.exe" [2004-01-29 21:23 135168 C:\WINDOWS\system32\VTTrayp.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 19:34 15360]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Shareaza\\Shareaza.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\DNA\\btdna.exe"=

"C:\\Program Files\\BitTorrent\\bittorrent.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

 

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 12:22]

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-02-20 12:11]

R2 OcHealthMon;Windows Live OneCare Health Monitor;C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe [2008-06-25 06:47]

S3 AmeAtmPc;AmeAtmPc;C:\WINDOWS\system32\DRIVERS\AmeAtmPc.sys [2002-12-17 03:29]

S3 AtmElan;Réseau émulant ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2008-04-13 11:51]

S3 AtmLane;Émulation réseau ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2008-04-13 11:51]

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-06-23 14:00:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

- - - - ORPHANS REMOVED - - - -

 

BHO-{1B44E59C-165C-4EE2-B3CD-4DFD348BE123} - C:\WINDOWS\system32\byXPJCTK.dll

BHO-{55132CE4-ABA4-42D5-B744-61BDAB6EC4B3} - C:\WINDOWS\system32\xxyvWpNe.dll

HKLM-Run-Adobe Photo Downloader - C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

HKLM-Run-9cdf02a7 - C:\WINDOWS\system32\yhrxenwk.dll

HKLM-Run-Cmaudio - cmicnfg.cpl

ShellExecuteHooks-{1B44E59C-165C-4EE2-B3CD-4DFD348BE123} - C:\WINDOWS\system32\byXPJCTK.dll

SSODL-fdxbameg-{7CC90ED4-3034-4048-8C25-4FB96520D6B3} - C:\WINDOWS\fdxbameg.dll

SSODL-fsrpknov-{330E1F7E-58DB-44C4-AF1D-EEAFD155DC51} - C:\WINDOWS\fsrpknov.dll

Notify-byXPJCTK - byXPJCTK.dll

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-14 14:17:06

Windows 5.1.2600 Service Pack 3 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe

C:\Program Files\Fichiers communs\logishrd\LVMVFM\LVPrcSrv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe

C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe

C:\Program Files\Microsoft Windows OneCare Live\winss.exe

C:\Program Files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\logishrd\LQCVFX\COCIManager.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-07-14 14:24:59 - machine was rebooted

ComboFix-quarantined-files.txt 2008-07-14 12:23:47

 

Pre-Run: 39,291,129,856 octets libres

Post-Run: 40,282,066,944 octets libres

 

233 --- E O F --- 2008-07-12 07:30:31

 

 

Toujours en suivant ce que Bruce Lee préconisait, j'ai réexécuté Smitfraudfix en mode sans échec puis au redémarrage du Pc à nouveau Combofix.

 

Voici les deux rapports :

 

Smitfrausfix

 

 

SmitFraudFix v2.329

 

Rapport fait à 14:38:19,42, lun. 14/07/2008

Executé à partir de C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2D82899C-79FD-45C1-B477-400048AAEA81}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2D82899C-79FD-45C1-B477-400048AAEA81}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{2D82899C-79FD-45C1-B477-400048AAEA81}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

et Combofix :

 

ComboFix 08-07-13.12 - Gaétan 2008-07-14 14:51:06.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.60 [GMT 2:00]

Endroit: C:\Documents and Settings\Gaétan\Bureau\ComboFix.exe

* Resident AV is active

 

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-06-14 to 2008-07-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-14 13:57 . 2008-07-14 14:38 3,582 --a------ C:\WINDOWS\system32\tmp.reg

2008-07-14 13:56 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-07-14 13:56 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-07-14 13:56 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-07-14 13:56 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-07-14 13:56 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe

2008-07-14 13:56 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe

2008-07-14 13:56 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-07-14 13:56 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-07-14 13:56 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-07-13 21:53 . 2008-07-13 21:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-07-13 21:51 . 2008-07-13 22:07 <REP> d-------- C:\Program Files\a-squared Free

2008-07-13 21:42 . 2008-07-13 21:42 <REP> d-------- C:\Program Files\Yahoo!

2008-07-13 21:41 . 2008-07-13 21:42 <REP> d-------- C:\Program Files\CCleaner

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Voisinage réseau

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Voisinage d'impression

2008-07-13 20:19 . 2008-03-11 14:43 <REP> d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Modèles

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Mes documents

2008-07-13 20:19 . 2008-03-11 15:34 <REP> dr------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Menu Démarrer

2008-07-13 20:19 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Favoris

2008-07-13 20:19 . 2008-07-14 14:37 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Bureau

2008-07-13 20:19 . 2008-07-13 20:19 <REP> d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-07-13 20:06 . 2008-03-11 14:43 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-07-13 20:06 . 2008-03-11 15:34 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-07-13 20:06 . 2008-03-11 15:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-07-13 20:06 . 2008-07-13 20:06 <REP> d-------- C:\Documents and Settings\Administrateur

2008-07-13 19:03 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys

2008-07-13 19:03 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys

2008-07-13 19:00 . 2008-05-15 16:15 53,168 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys

2008-07-13 18:51 . 2008-07-13 19:48 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live

2008-07-13 18:48 . 2008-07-13 18:49 <REP> d-------- C:\Program Files\Windows Live Safety Center

2008-07-13 18:24 . 2008-07-13 18:24 <REP> d-------- C:\Documents and Settings\Sophie\Application Data\TmpRecentIcons

2008-07-13 14:13 . 2008-07-13 16:09 <REP> d-------- C:\Temp

2008-07-13 14:10 . 2008-07-13 14:10 <REP> d-------- C:\Program Files\Magicbit

2008-07-12 14:08 . 2008-07-12 14:08 <REP> d-------- C:\Documents and Settings\Sophie\Application Data\EPSON

2008-07-12 14:07 . 2008-07-12 14:24 6,114 --a------ C:\WINDOWS\system32\EPPICResdb0000

2008-07-12 14:07 . 2008-07-12 14:24 117 --a------ C:\WINDOWS\system32\EPPICResdb

2008-07-12 10:55 . 2008-07-12 10:55 268 --ah----- C:\sqmdata19.sqm

2008-07-12 10:55 . 2008-07-12 10:55 244 --ah----- C:\sqmnoopt19.sqm

2008-07-12 09:30 . 2008-07-12 09:30 <REP> d-------- C:\Program Files\MSXML 4.0

2008-07-11 12:18 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll

2008-07-11 12:17 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys

2008-07-11 12:16 . 2008-07-11 12:16 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers

2008-07-11 12:16 . 2008-07-11 12:16 <REP> d-------- C:\Program Files\Samsung

2008-07-11 12:16 . 2007-05-02 11:12 109,704 --a------ C:\WINDOWS\system32\drivers\ssm_mdm.sys

2008-07-11 12:16 . 2007-05-02 11:12 83,592 --a------ C:\WINDOWS\system32\drivers\ssm_bus.sys

2008-07-11 12:16 . 2007-05-02 11:12 15,112 --a------ C:\WINDOWS\system32\drivers\ssm_mdfl.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_whnt.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_wh.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_cmnt.sys

2008-07-11 12:16 . 2007-05-02 11:12 12,424 --a------ C:\WINDOWS\system32\drivers\ssm_cm.sys

2008-07-11 12:16 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-07-04 22:31 . 2008-07-04 22:31 268 --ah----- C:\sqmdata18.sqm

2008-07-04 22:31 . 2008-07-04 22:31 244 --ah----- C:\sqmnoopt18.sqm

2008-07-02 21:36 . 2008-07-02 21:36 268 --ah----- C:\sqmdata17.sqm

2008-07-02 21:36 . 2008-07-02 21:36 244 --ah----- C:\sqmnoopt17.sqm

2008-07-01 23:39 . 2008-07-01 23:39 268 --ah----- C:\sqmdata16.sqm

2008-07-01 23:39 . 2008-07-01 23:39 244 --ah----- C:\sqmnoopt16.sqm

2008-06-30 20:21 . 2008-06-30 20:21 268 --ah----- C:\sqmdata15.sqm

2008-06-30 20:21 . 2008-06-30 20:21 244 --ah----- C:\sqmnoopt15.sqm

2008-06-29 17:02 . 2008-06-29 17:02 268 --ah----- C:\sqmdata14.sqm

2008-06-29 17:02 . 2008-06-29 17:02 244 --ah----- C:\sqmnoopt14.sqm

2008-06-29 14:59 . 2008-06-29 14:59 268 --ah----- C:\sqmdata13.sqm

2008-06-29 14:59 . 2008-06-29 14:59 244 --ah----- C:\sqmnoopt13.sqm

2008-06-22 21:02 . 2008-07-03 18:38 <REP> d-------- C:\WINDOWS\system32\Adobe

2008-06-22 16:11 . 2008-06-22 16:11 268 --ah----- C:\sqmdata12.sqm

2008-06-22 16:11 . 2008-06-22 16:11 244 --ah----- C:\sqmnoopt12.sqm

2008-06-20 22:39 . 2008-06-20 22:39 268 --ah----- C:\sqmdata11.sqm

2008-06-20 22:39 . 2008-06-20 22:39 244 --ah----- C:\sqmnoopt11.sqm

2008-06-20 19:47 . 2008-06-20 19:47 247,808 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 19:47 . 2008-06-20 19:47 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys

2008-06-19 15:18 . 2008-06-19 15:18 <REP> d-------- C:\Documents and Settings\Gaétan\.housecall6.6

2008-06-19 15:18 . 2008-06-19 15:18 <REP> d-------- C:\Documents and Settings\Gaétan\.housecall6.6

2008-06-18 22:10 . 2008-06-18 22:10 268 --ah----- C:\sqmdata10.sqm

2008-06-18 22:10 . 2008-06-18 22:10 244 --ah----- C:\sqmnoopt10.sqm

2008-06-17 21:07 . 2008-06-17 21:07 268 --ah----- C:\sqmdata09.sqm

2008-06-17 21:07 . 2008-06-17 21:07 244 --ah----- C:\sqmnoopt09.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-14 12:33 --------- d-----w C:\Documents and Settings\Gaétan\Application Data\DNA

2008-07-13 17:45 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs

2008-07-13 17:05 --------- d-----w C:\Program Files\Google

2008-07-13 11:34 --------- d-----w C:\Documents and Settings\Gaétan\Application Data\BitTorrent

2008-07-11 10:17 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-05-30 11:47 --------- d-----w C:\Program Files\QuickZip4

2008-05-28 13:40 --------- d-----w C:\Program Files\Musicmatch

2008-05-26 15:41 --------- d-----w C:\Program Files\Apple Software Update

2008-05-26 15:39 --------- d-----w C:\Program Files\iTunes

2008-05-26 15:38 --------- d-----w C:\Program Files\iPod

2008-05-26 15:37 --------- d-----w C:\Program Files\QuickTime

2008-05-20 01:09 --------- d-----w C:\Program Files\Fichiers communs\xing shared

2008-05-20 01:08 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll

2008-05-20 01:08 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll

2008-05-20 01:08 --------- d-----w C:\Program Files\Real

2008-05-20 01:08 --------- d-----w C:\Program Files\Fichiers communs\Real

2008-05-19 23:55 --------- d-----w C:\Program Files\Microsoft Silverlight

2008-05-09 10:55 90,112 ----a-w C:\WINDOWS\system32\wshext.dll

2008-05-09 10:55 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll

2008-05-09 10:55 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll

2008-05-09 10:55 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll

2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe

2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe

2008-05-07 05:11 1,294,336 ----a-w C:\WINDOWS\system32\quartz.dll

2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-07-14_14.22.45.53 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-07-14 12:48:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_6a4.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 19:34 15360]

"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-04 16:28 289088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 12:06 1443072]

"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 06:00 98304]

"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]

"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-05-20 03:08 185896]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

"MMTray"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 13:12 135168]

"mmtask"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 13:12 53248]

"OneCareUI"="C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" [2008-06-25 06:48 67112]

"AME_CSA"="amecsa.cpl" [2002-10-30 04:26 757760 C:\WINDOWS\system32\AmeCSA.cpl]

"VTTimer"="VTTimer.exe" [2004-01-15 06:33 49152 C:\WINDOWS\system32\VTTimer.exe]

"VTTrayp"="VTtrayp.exe" [2004-01-29 21:23 135168 C:\WINDOWS\system32\VTTrayp.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 19:34 15360]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Shareaza\\Shareaza.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\DNA\\btdna.exe"=

"C:\\Program Files\\BitTorrent\\bittorrent.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

 

R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 12:22]

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-02-20 12:11]

R2 OcHealthMon;Windows Live OneCare Health Monitor;C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe [2008-06-25 06:47]

S3 AmeAtmPc;AmeAtmPc;C:\WINDOWS\system32\DRIVERS\AmeAtmPc.sys [2002-12-17 03:29]

S3 AtmElan;Réseau émulant ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2008-04-13 11:51]

S3 AtmLane;Émulation réseau ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2008-04-13 11:51]

 

*Newly Created Service* - CATCHME

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-06-23 14:00:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-14 14:56:29

Windows 5.1.2600 Service Pack 3 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

 

**************************************************************************

.

Temps d'accomplissement: 2008-07-14 15:02:08

ComboFix-quarantined-files.txt 2008-07-14 13:00:57

ComboFix2.txt 2008-07-14 12:25:03

 

Pre-Run: 40,289,841,152 octets libres

Post-Run: 40,279,027,712 octets libres

 

199 --- E O F --- 2008-07-12 07:30:31

.

 

 

Apparemment le problème est résolu.

 

Mais dans le cas de Zeupa, Bruce Lee donne une "Citation" à copier dans un bloc-note, à sauver en fichier CFScript.

Ce fichier doit être glissé sur Combofix et ce dernier réexécuté.

 

 

Cette dernière opération, je ne peux la mener moi-même.

Bruce Lee ou un autre membre du forum peut-il m'aider ou me rédiger ma "Citation" ??

 

Je vous en remercie tous d'avance.

 

Philou4130.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonsoir,

 

ComboFix n'est pas un outil à utiliser à la légère, et ne doit être utilisé que prescrit pour une machine par un membre qualifié et formé à cet outil.

Toute utilisation en dehors de ces termes est dangereuse.

 

Ne surtout pas utiliser le script, il est fait sur mesure pour une machine.

De manière générale, chaque procédure est pour une machine, et une seule. Le moindre fichier infectieux différent et vous n'êtes pas désinfecté en tentant de la reproduire. Si une procédure miracle marchait pour tous, on ne désinfecterait pas sur les forums. :P

 

Poste un rapport HijackThis.

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

hjticon.gif

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

philou4130 Power Member

philou4130

Posté(e)
  • Auteur
Posté(e)

Bonsoir Falkra.

 

Ta réponse me fait un peu froid dans le dos. Il est vrai que tous les sujets sur le forum commencent par un Hijackthis (rapport).

 

Pour un peu résumer, hier j'ai fait tourner Hijt en mode sans échec et j'ai fixé, de mémoire, plusieurs lignes des rubriques 09 et 016 et peut-être d'autres. Du "un peu n'importe quoi", je le reconnais !

J'ai fait retourner Hijt et je viens de récupérer un rapport d'hier. D'après ce que je vois dans back up, le log récupéré serait le premier.

 

Le voici :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:21:25, on 13/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Bureau\Hijackthis\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: {165812ea-13dd-2918-f5f4-0655ed695c70} - {07c596de-5560-4f5f-8192-dd31ae218561} - C:\WINDOWS\system32\hoynoc.dll

O2 - BHO: (no name) - {1B44E59C-165C-4EE2-B3CD-4DFD348BE123} - C:\WINDOWS\system32\byXPJCTK.dll (file missing)

O2 - BHO: (no name) - {55132CE4-ABA4-42D5-B744-61BDAB6EC4B3} - C:\WINDOWS\system32\xxyvWpNe.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {22485458-DFE2-461D-92BB-6FBE7B53A1C3} - (no file)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [9cdf02a7] rundll32.exe "C:\WINDOWS\system32\yhrxenwk.dll",b

O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5036.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab

O20 - Winlogon Notify: byXPJCTK - byXPJCTK.dll (file missing)

O21 - SSODL: fdxbameg - {7CC90ED4-3034-4048-8C25-4FB96520D6B3} - C:\WINDOWS\fdxbameg.dll

O21 - SSODL: fsrpknov - {330E1F7E-58DB-44C4-AF1D-EEAFD155DC51} - C:\WINDOWS\fsrpknov.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

 

--

End of file - 6820 bytes

 

 

Je viens de faire retourner Hijackthis et voici le rapport : (mais tu dois savoir que j'ai fait tourner CcCleaner avant de me tourner vers Zébulon et son forum aujourd'hui.Stupide alors que je suis inscrit depuis janvier.)

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:17:59, on 15/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe

C:\Program Files\Microsoft Windows OneCare Live\winss.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Program Files\Logitech\QuickCam\Quickcam.exe

C:\WINDOWS\system32\NotifyPhoneBook.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DNA\btdna.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dhnet.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5036.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

 

--

End of file - 6929 bytes

 

 

Même si j'avais à l'époque imprimé le tutoriel d'interprétation des listes d'Hijackthis sur Zébulon, je reconnais que c'est suicidaire.

 

Merci d'avance.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)
Pour un peu résumer, hier j'ai fait tourner Hijt en mode sans échec et j'ai fixé, de mémoire, plusieurs lignes des rubriques 09 et 016 et peut-être d'autres. Du "un peu n'importe quoi", je le reconnais !
La difficulté, c'est qu'après, nous, on vois parfois moins, et souvent il y a des restes, plus planqués. :P

D'ailleurs le 2eme rapport est clean, on ne voit rien. L'autre est vieux, mais tu as/avais un bon vieux Vundo, qui aime en laisser partout.

Le vrai danger c'est comme tu dis, de faire n'importe quoi. Surtout avec ComboFix. Imaginons un scénario (un scénario idiot), un utilisateur voit un script, le bidouille pour inclure un fichier qui a une drôle de tête selon ses critères (ou un faux positif dans une détection d'antivirus ou autre logiciel). Manque de pot c'était un fichier vital de windows. CF peut le shooter quand même (c'est pour ça qu'on dit qu'il est dangereux, en partie). Plus de windows. Etc...

 

Allez, on continue à partir de ce qu'on a :

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

philou4130 Power Member

philou4130

Posté(e)
  • Auteur
Posté(e)

Bonjour Falkra,

 

j'ai installé MBAM, et l'ai exécuté après avoir téléchargé les mises à jour.

Voici le rapport : (il me disait "L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté, cliquez sur Menu Principal"

 

Malwarebytes' Anti-Malware 1.20

Version de la base de données: 951

Windows 5.1.2600 Service Pack 3

 

12:10:37 15/07/2008

mbam-log-7-15-2008 (12-10-37).txt

 

Type de recherche: Examen rapide

Eléments examinés: 46128

Temps écoulé: 8 minute(s), 12 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Dans la foulée, j'ai fait un examen minutieux et il a trouvé une infection sur la partition D du disque, dans un fichier Temp, qui avait été sauvegardé avant un formatage qui date d'environ deux ans.

 

J'ai supprimé cette infection.

 

Voici le rapport :

 

 

Malwarebytes' Anti-Malware 1.20

Version de la base de données: 951

Windows 5.1.2600 Service Pack 3

 

12:52:35 15/07/2008

mbam-log-7-15-2008 (12-52-35).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 97792

Temps écoulé: 38 minute(s), 17 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

D:\formatage\Documents and Settings\Virgile\Local Settings\Temp\ginstall.dll (Adware.WebHancer) -> Quarantined and deleted successfully.

 

Reste t'il des manipulations complémentaires à effectuer ??

 

Je te remercie du temps que tu me consacres par cette journée ensoleillée.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Le rapport est clean, le dernier HJT aussi, on va en faire un dernier pour vérifications, mais ça a l'air bon.

Tu as encore des symptômes ?

 

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

  1. ferme toutes les applications et fenêtres
  2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
    Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
  3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
    • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
      Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
    • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
      main.txt <- ouvert en premier plan et en plein écran
      extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)

S'il s'agit d'une utilisation supplémentaire de DSS :

  • tu n'auras pas de boîte de dialogue (pas de OK)
  • quand le traitement est terminé, un fichier texte s'affiche :
    main.txt <- ouvert en premier plan et en plein écran

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

 

Ce que fait DSS :

  • crée un point de restauration dans Windows XP et Vista
  • nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
  • vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

philou4130 Power Member

philou4130

Posté(e)
  • Auteur
Posté(e)

Bonjour Falkra.

 

J'ai été long à répondre. (petits soucis de connexion sur le forum - mot de passe) mais le brave Yann vient d'arranger cela.

 

Je ne remarque pas de symptôme particulier lors de l'utilisation du PC.

 

J'ai exécuté DSS, voici les deux logs :

 

Main :

 

Deckard's System Scanner v20071014.68

Run by Gaétan on 2008-07-15 19:46:44

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- System Restore --------------------------------------------------------------

 

Successfully created a Deckard's System Scanner Restore Point.

 

 

-- Last 3 Restore Point(s) --

3: 2008-07-15 17:46:53 UTC - RP156 - Deckard's System Scanner Restore Point

2: 2008-07-15 10:51:06 UTC - RP155 - Microsoft OneCare Protection Checkpoint

1: 2008-07-15 10:19:14 UTC - RP154 - ComboFix created restore point

 

 

Backed up registry hives.

Performed disk cleanup.

 

Percentage of Memory in Use: 77% (more than 75%).

Total Physical Memory: 448 MiB (512 MiB recommended).

 

 

-- HijackThis (run as Gaétan.exe) ----------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:47:53, on 15/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe

C:\Program Files\Microsoft Windows OneCare Live\winss.exe

C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\NotifyPhoneBook.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Program Files\Logitech\QuickCam\Quickcam.exe

C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\DNA\btdna.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Documents and Settings\Gaétan\Bureau\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\Gaétan.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dhnet.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5036.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

 

--

End of file - 6941 bytes

 

-- File Associations -----------------------------------------------------------

 

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*

.reg - regfile - shell\open\command - regedit.exe "%1" %*

.scr - scrfile - shell\open\command - "%1" %*

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

R1 StarOpen - c:\windows\system32\drivers\staropen.sys

 

S3 AmeAtmPc - c:\windows\system32\drivers\ameatmpc.sys <Not Verified; Alcatel Microelectronics; Alcatel Microelectronics ADSL USB MODEM>

S3 catchme - c:\combofix\catchme.sys (file missing)

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

R2 Apple Mobile Device - "c:\program files\fichiers communs\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>

R2 Bonjour Service (Service Bonjour) - "c:\program files\bonjour\mdnsresponder.exe" <Not Verified; Apple Inc.; Bonjour>

 

 

-- Device Manager: Disabled ----------------------------------------------------

 

No disabled devices found.

 

 

-- Scheduled Tasks -------------------------------------------------------------

 

2008-07-14 16:00:14 284 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

 

 

-- Files created between 2008-06-15 and 2008-07-15 -----------------------------

 

2008-07-15 11:59:54 0 d-------- C:\Documents and Settings\Gaétan\Application Data\Malwarebytes

2008-07-15 11:59:50 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-07-15 11:59:48 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-07-15 02:17:22 0 d-------- C:\Program Files\Trend Micro

2008-07-14 15:28:26 0 d--h----- C:\WINDOWS\PIF

2008-07-14 14:05:36 0 d-------- C:\Documents and Settings\Gaétan\Start Menu

2008-07-14 14:04:17 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>

2008-07-14 14:04:16 68096 --a------ C:\WINDOWS\zip.exe

2008-07-14 14:04:16 98816 --a------ C:\WINDOWS\sed.exe

2008-07-14 14:04:16 80412 --a------ C:\WINDOWS\grep.exe

2008-07-14 14:04:16 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >

2008-07-14 14:04:15 49152 --a------ C:\WINDOWS\VFind.exe

2008-07-14 14:04:13 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>

2008-07-14 14:04:13 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>

2008-07-14 13:57:25 3582 --a------ C:\WINDOWS\system32\tmp.reg

2008-07-14 13:56:45 81920 --a------ C:\WINDOWS\system32\404Fix.exe <Not Verified; S!Ri.URZ; 404Fix>

2008-07-14 13:56:44 25600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-07-14 13:56:44 86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>

2008-07-14 13:56:44 82944 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>

2008-07-14 13:56:43 289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >

2008-07-14 13:56:43 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>

2008-07-14 13:56:43 51200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-07-14 13:56:42 53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>

2008-07-13 21:51:31 0 d-------- C:\Program Files\a-squared Free

2008-07-13 21:46:07 0 dr-h----- C:\Documents and Settings\Gaétan\Recent

2008-07-13 21:42:25 0 d-------- C:\Program Files\Yahoo!

2008-07-13 20:19:17 0 d---s---- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Application Data\Microsoft

2008-07-13 20:19:16 0 d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Favoris

2008-07-13 20:19:16 0 d--hs---- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Cookies

2008-07-13 20:19:16 0 d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Bureau

2008-07-13 20:19:16 0 dr-h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Application Data

2008-07-13 20:19:15 0 dr-h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\SendTo

2008-07-13 20:19:15 0 d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Recent

2008-07-13 20:19:15 0 d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Modèles

2008-07-13 20:19:15 0 d-------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Mes documents

2008-07-13 20:19:15 0 dr------- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Menu Démarrer

2008-07-13 20:19:15 0 d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Local Settings

2008-07-13 20:19:14 0 d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Voisinage réseau

2008-07-13 20:19:14 0 d--h----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Voisinage d'impression

2008-07-13 20:19:13 786432 --ah----- C:\Documents and Settings\Administrateur.GA-1D2BDF818650\NTUSER.DAT

2008-07-13 20:06:36 0 d-------- C:\Documents and Settings\Administrateur\Favoris

2008-07-13 20:06:36 0 d--hs---- C:\Documents and Settings\Administrateur\Cookies

2008-07-13 20:06:36 0 d-------- C:\Documents and Settings\Administrateur\Bureau

2008-07-13 20:06:36 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data

2008-07-13 20:06:36 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft

2008-07-13 20:06:35 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2008-07-13 20:06:35 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-07-13 20:06:35 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo

2008-07-13 20:06:35 0 d--h----- C:\Documents and Settings\Administrateur\Recent

2008-07-13 20:06:35 0 d--h----- C:\Documents and Settings\Administrateur\Modèles

2008-07-13 20:06:35 0 d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-07-13 20:06:35 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2008-07-13 20:06:35 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings

2008-07-13 20:06:34 524288 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT

2008-07-13 18:51:05 0 d-------- C:\Program Files\Microsoft Windows OneCare Live

2008-07-13 18:48:58 0 d-------- C:\Program Files\Windows Live Safety Center

2008-07-13 18:24:53 0 d-------- C:\Documents and Settings\Sophie\Application Data\TmpRecentIcons

2008-07-13 14:13:07 0 d-------- C:\Temp

2008-07-13 14:10:43 0 d-------- C:\Program Files\Magicbit

2008-07-12 14:08:08 0 d-------- C:\Documents and Settings\Sophie\Application Data\EPSON

2008-07-12 14:07:50 6114 --a------ C:\WINDOWS\system32\EPPICResdb0000

2008-07-12 14:07:50 117 --a------ C:\WINDOWS\system32\EPPICResdb

2008-07-12 09:30:30 0 d-------- C:\Program Files\MSXML 4.0

2008-07-11 12:18:44 174592 --a------ C:\WINDOWS\system32\framedyn.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>

2008-07-11 12:17:37 5632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys

2008-07-11 12:16:14 0 d-------- C:\WINDOWS\system32\Samsung_USB_Drivers

2008-07-11 12:16:08 0 d-------- C:\Program Files\Samsung

2008-06-22 21:02:45 0 d-------- C:\WINDOWS\system32\Adobe

2008-06-19 15:18:06 0 d-------- C:\Documents and Settings\Gaétan\.housecall6.6

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-07-15 12:53:37 0 d-------- C:\Documents and Settings\Gaétan\Application Data\DNA

2008-07-13 19:05:50 0 d-------- C:\Program Files\Google

2008-07-13 13:34:46 0 d-------- C:\Documents and Settings\Gaétan\Application Data\BitTorrent

2008-07-11 12:17:04 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-06-25 15:49:18 0 d-------- C:\Documents and Settings\Gaétan\Application Data\Adobe

2008-06-25 15:49:17 0 d-------- C:\Documents and Settings\Gaétan\Application Data\Macromedia

2008-06-03 11:40:25 0 d-------- C:\Documents and Settings\Gaétan\Application Data\Google

2008-06-01 13:07:32 3019 --a------ C:\Documents and Settings\Gaétan\Application Data\QuickZip45.ini

2008-05-30 13:47:50 0 d-------- C:\Program Files\QuickZip4

2008-05-28 15:40:17 0 d-------- C:\Program Files\Musicmatch

2008-05-26 17:41:47 0 d-------- C:\Program Files\Apple Software Update

2008-05-26 17:39:08 0 d-------- C:\Program Files\iTunes

2008-05-26 17:38:56 0 d-------- C:\Program Files\iPod

2008-05-26 17:37:10 0 d-------- C:\Program Files\QuickTime

2008-05-20 03:12:09 0 d-------- C:\Documents and Settings\Gaétan\Application Data\Real

2008-05-20 03:09:00 0 d-------- C:\Program Files\Fichiers communs

2008-05-20 03:09:00 0 d-------- C:\Program Files\Fichiers communs\xing shared

2008-05-20 03:08:51 0 d-------- C:\Program Files\Fichiers communs\Real

2008-05-20 03:08:14 0 d-------- C:\Program Files\Real

2008-05-20 01:55:04 0 d-------- C:\Program Files\Microsoft Silverlight

2008-05-16 14:52:50 510736 --a------ C:\WINDOWS\system32\perfh00C.dat

2008-05-16 14:52:49 84818 --a------ C:\WINDOWS\system32\perfc00C.dat

2008-05-16 14:42:07 0 d-------- C:\Program Files\Messenger

2008-05-16 14:41:26 0 d-------- C:\Program Files\Movie Maker

2008-05-16 14:35:48 0 d-------- C:\Program Files\Windows NT

2008-05-06 21:03:29 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AME_CSA"="amecsa.cpl" [30/10/2002 04:26 C:\WINDOWS\system32\AmeCSA.cpl]

"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [20/02/2008 12:06]

"VTTimer"="VTTimer.exe" [15/01/2004 06:33 C:\WINDOWS\system32\VTTimer.exe]

"VTTrayp"="VTtrayp.exe" [29/01/2004 21:23 C:\WINDOWS\system32\VTTrayp.exe]

"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [08/02/2005 06:00]

"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [25/07/2007 17:06]

"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [25/07/2007 17:02]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 05:25]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 23:16]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [20/05/2008 03:08]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [28/03/2008 23:37]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/03/2008 10:36]

"MMTray"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [17/01/2006 13:12]

"mmtask"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe" [17/01/2006 13:12]

"OneCareUI"="C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" [25/06/2008 06:48]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [13/04/2008 19:34]

"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [04/05/2008 16:28]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"HideLegacyLogonScripts"=0 (0x0)

"HideLogoffScripts"=0 (0x0)

"RunLogonScriptSync"=1 (0x1)

"RunStartupScriptSync"=0 (0x0)

"HideStartupScripts"=0 (0x0)

"DisableRegistryTools"=0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"HideLegacyLogonScripts"=0 (0x0)

"HideLogoffScripts"=0 (0x0)

"RunLogonScriptSync"=1 (0x1)

"RunStartupScriptSync"=0 (0x0)

"HideStartupScripts"=0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]

C:\WINDOWS\System32\dimsntfy.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

eapsvcs eaphost

dot3svc dot3svc

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

napagent

hkmsvc

 

 

 

 

-- End of Deckard's System Scanner: finished at 2008-07-15 19:49:09 ------------

 

 

et Extra :

 

 

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------

 

-- System Information ----------------------------------------------------------

 

Microsoft Windows XP Édition familiale (build 2600) SP 3.0

Architecture: X86; Language: French

 

CPU 0: Intel® Pentium® 4 CPU 3.00GHz

Percentage of Memory in Use: 74%

Physical Memory (total/avail): 447.48 MiB / 114.87 MiB

Pagefile Memory (total/avail): 1058.11 MiB / 705.73 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1939.53 MiB

 

C: is Fixed (NTFS) - 58.59 GiB total, 38.41 GiB free.

D: is Fixed (NTFS) - 18.09 GiB total, 14.78 GiB free.

E: is CDROM (No Media)

F: is CDROM (No Media)

G: is Removable (FAT32)

 

\\.\PHYSICALDRIVE0 - HDS728080PLAT20 - 76.69 GiB - 2 partitions

\PARTITION0 (bootable) - Système de fichiers installable - 58.59 GiB - C:

\PARTITION1 - Étendu avec Inter. 13 étendue - 18.09 GiB - D:

 

\\.\PHYSICALDRIVE1 - Sony Storage Media USB Device - 3.73 GiB - 1 partition

\PARTITION0 (bootable) - Unknown - 3.73 GiB - G:

 

 

 

-- Security Center -------------------------------------------------------------

 

AUOptions is scheduled to auto-install.

 

 

-- Environment Variables -------------------------------------------------------

 

ALLUSERSPROFILE=C:\Documents and Settings\All Users

APPDATA=C:\Documents and Settings\Ga‚tan\Application Data

CLASSPATH=.;C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip

CommonProgramFiles=C:\Program Files\Fichiers communs

COMPUTERNAME=GA-1D2BDF818650

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Documents and Settings\Ga‚tan

LOGONSERVER=\\GA-1D2BDF818650

NUMBER_OF_PROCESSORS=2

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\QuickTime\QTSystem;C:\Program Files\Samsung\Samsung PC Studio 3

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 15 Model 3 Stepping 4, GenuineIntel

PROCESSOR_LEVEL=15

PROCESSOR_REVISION=0304

ProgramFiles=C:\Program Files

PROMPT=$P$G

QTJAVA=C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOCUME~1\GATAN~1\LOCALS~1\Temp

TMP=C:\DOCUME~1\GATAN~1\LOCALS~1\Temp

USERDOMAIN=GA-1D2BDF818650

USERNAME=Ga‚tan

USERPROFILE=C:\Documents and Settings\Ga‚tan

windir=C:\WINDOWS

 

 

-- User Profiles ---------------------------------------------------------------

 

Gaétan (admin)

Sophie (admin)

Virgile (admin)

Administrateur.GA-1D2BDF818650 (admin)

 

 

-- Add/Remove Programs ---------------------------------------------------------

 

--> C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) --> MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}

Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Reader 8.1.2 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}

Adobe Reader 8.1.2 Security Update 1 (KB403742) -->

Adobe Shockwave Player --> C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log

Adobe® Photoshop® Album Edition Découverte 3.2 --> MsiExec.exe /I{A654A805-41D9-40C7-AA46-4AF04F044D61}

Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}

Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}

AVS Cover Editor 1.3.1.81 (AVSMedia) --> "C:\Program Files\AVSMedia\CoverEditor\unins000.exe"

AVS DVD Copy version 1.4 --> "C:\Program Files\AVSMedia\DVDCopy\unins000.exe"

Bel Atout 4.20 --> "C:\Program Files\Jeux de cartes\Bel Atout\unins000.exe"

BitTorrent --> "C:\Program Files\BitTorrent\BitTorrent.exe" /UNINSTALL

Bonjour --> MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}

C-Media WDM Audio Driver --> C:\WINDOWS\system32\cmirmdrv.exe

Correctif pour Lecteur Windows Media 11 (KB939683) --> "C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"

DNA --> "C:\Program Files\DNA\btdna.exe" /UNINSTALL

EPSON Attach To Email --> C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{20C45B32-5AB6-46A4-94EF-58950CAF05E5} /l1033 ADDREMOVEDLG

EPSON Copy Utility 3 --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67EDD823-135A-4D59-87BD-950616D6E857}\SETUP.EXE" -l0x40c -UnInstall

EPSON Easy Photo Print --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F19D07BC-6240-49D3-BA5C-59B015DF8916}\SETUP.EXE" -l0x40c UNINST

EPSON File Manager --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E86BC406-944E-41F6-ADE6-2C136734C96B}\Setup.exe" -l0x40c UNINST

EPSON Image Clip Palette --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{314F6D08-A8B7-11D8-8446-0050BA1D384D}\Setup.exe" -l0x40c -u

EPSON Logiciel imprimante --> C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R

EPSON Scan --> C:\Program Files\epson\escndv\setup\setup.exe /r

EPSON Scan Assistant --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}\Setup.exe" -l0x40c -u

EPSON Web-To-Page --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x40c -anything

ESDX3800 Guide d'utilisation --> C:\Program Files\EPSON\TPMANUAL\ESDX3800\USE_G\DOCUNINS.EXE

ESET NOD32 Antivirus --> MsiExec.exe /I{944F0F77-F26F-4D17-A440-6DA4CBE05B71}

EVEREST Home Edition v2.20 --> "C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"

Google Earth --> MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}

GTOneCare --> MsiExec.exe /X{8B21B9EF-6DBF-4F63-8CC7-9F6A56D1EE8E}

HijackThis 2.0.2 --> "C:\Documents and Settings\Administrateur.GA-1D2BDF818650\Bureau\Hijackthis\HiJackThis\HijackThis.exe" /uninstall

Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"

Hotfix for Windows Media Format SDK (KB902344) --> "C:\WINDOWS\$NtUninstallKB902344$\spuninst\spuninst.exe"

iTunes --> MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}

IZArc 3.81 --> "C:\Program Files\IZArc\unins000.exe"

Java 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}

Logitech QuickCam --> MsiExec.exe /X{364EC092-93CF-4DDC-9D7A-7278452028E0}

Magicbit 3GP Video Converter --> C:\Program Files\Magicbit\3GP Video Converter\Uninstall.exe

Malwarebytes' Anti-Malware --> "C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"

Microsoft Office XP Professional --> MsiExec.exe /I{9211040C-6000-11D3-8CFE-0050048383C9}

Microsoft Protection Service --> MsiExec.exe /I{78CBEDE0-3419-4518-8AD3-E4C8FC233DD2}

Microsoft Silverlight --> MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}

Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"

Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}

Microsoft Windows Live OneCare Resources v2.5.2900.03 --> MsiExec.exe /I{5660022E-F3F2-4126-8CC5-9726C47150EB}

Microsoft Windows OneCare Live AntiSpyware and AntiVirus --> MsiExec.exe /I{AB65455A-059F-41C3-AAD6-2EFAFB38B19B}

Microsoft Windows OneCare Live v2.5.2900.03 --> MsiExec.exe /I{D07A8E7E-D324-4945-BA8C-E532AD008FF3}

Microsoft Windows OneCare Live v2.5.2900.03 Idcrl Install --> MsiExec.exe /I{3851147E-5A91-4469-BA4D-13FFFCC8A920}

Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782) --> "C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951748) --> "C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB951978) --> "C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"

MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}

Musicmatch® Jukebox --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8EF1122E-E90C-4EE9-AB0C-7FDE2BA42C26}\setup.exe" -l0x40c -uninst

Package de base Microsoft de service de chiffrement pour cartes à puce --> "C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"

PIF DESIGNER --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B90450DF-E781-46FD-B1F1-0C86DA40E443}\SETUP.EXE" -l0x40c anything

Plug&Play ADSL Modem Driver Suite --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BEBED42E-0BF4-11D5-928C-0060677630C4}\Setup.exe"

PX Engine --> MsiExec.exe /I{6513E869-647F-40FD-A55D-CFC92579B9BA}

Quick Zip 4.60.019 --> "C:\Program Files\QuickZip4\unins000.exe"

QuickTime --> MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}

RealPlayer --> C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0

S3 S3Chromo --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Chromo'

S3 S3Config3D --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Config3D'

S3 S3Display --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Display'

S3 S3Gamma2 --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Gamma2'

S3 S3Info2 --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Info2'

S3 S3Overlay --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3Overlay'

S3 S3RefreshLock --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3RefreshLock'

S3 S3TrayPlus --> vtuninst.exe -reg 5 'HKLM\Software\S3\VT\S3Uninst\S3TrayPlus'

SAMSUNG Mobile Modem Driver Set --> C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe

Samsung Mobile phone USB driver Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe

SAMSUNG Mobile USB Modem 1.0 Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe

SAMSUNG Mobile USB Modem Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe

Samsung PC Studio 3 --> "C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x040c -removeonly

Samsung PC Studio 3 USB Driver Installer --> "C:\Program Files\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -runfromtemp -l0x040c -removeonly

Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}

Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}

Shareaza 2.3.1.0 --> "C:\Program Files\Shareaza\Uninstall\unins000.exe"

Spelling Dictionaries Support For Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003}

VideoLAN VLC media player 0.8.6f --> C:\Program Files\VideoLAN\VLC\uninstall.exe

VirtuaGirl HD --> C:\Documents and Settings\Virgile\Menu Démarrer\Programmes\VirtuaGirl HD\uninstall.lnk

Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"

Windows Live installer --> MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}

Windows Live Messenger --> MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}

Windows Live OneCare --> "C:\Program Files\Microsoft Windows OneCare Live\OCSetup.exe" /u

Windows Live Sign-in Assistant --> MsiExec.exe /I{0ED47137-C071-46CC-A243-E5E33271E10E}

Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"

Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}

Windows Presentation Foundation Language Pack (FRA) --> MsiExec.exe /X{6901DD22-527A-41EF-9059-E81FEDE9E494}

Windows Workflow Foundation FR Language Pack --> MsiExec.exe /I{B84C141C-9A13-44BE-9A69-301D7B11D836}

Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

XML Paper Specification Shared Components Pack 1.0 -->

 

 

-- Application Event Log -------------------------------------------------------

 

Event Record #/Type1233 / Warning

Event Submitted/Written: 07/15/2008 00:53:48 PM

Event ID/Source: 1524 / Userenv

Event Description:

Windows ne peut pas décharger vos classes fichier de Registre - il est en cours d'utilisation par d'autres applications ou services. Le fichier sera déchargé quand il ne sera plus utilisé.

 

Event Record #/Type1224 / Warning

Event Submitted/Written: 07/15/2008 11:16:53 AM

Event ID/Source: 1524 / Userenv

Event Description:

Windows ne peut pas décharger vos classes fichier de Registre - il est en cours d'utilisation par d'autres applications ou services. Le fichier sera déchargé quand il ne sera plus utilisé.

 

Event Record #/Type1215 / Warning

Event Submitted/Written: 07/15/2008 02:24:01 AM

Event ID/Source: 1524 / Userenv

Event Description:

Windows ne peut pas décharger vos classes fichier de Registre - il est en cours d'utilisation par d'autres applications ou services. Le fichier sera déchargé quand il ne sera plus utilisé.

 

Event Record #/Type1206 / Warning

Event Submitted/Written: 07/15/2008 01:53:30 AM

Event ID/Source: 1524 / Userenv

Event Description:

Windows ne peut pas décharger vos classes fichier de Registre - il est en cours d'utilisation par d'autres applications ou services. Le fichier sera déchargé quand il ne sera plus utilisé.

 

Event Record #/Type1197 / Warning

Event Submitted/Written: 07/14/2008 03:44:13 PM

Event ID/Source: 5603 / WinMgmt

Event Description:

Un fournisseur, OffProv10, était inscrit dans l'espace de noms WMI, Root\MSAPPS10, mais n'a pas spécifié la propriété HostingModel. Ce fournisseur sera exécuté avec le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s'il ne représente pas correctement les demandes utilisateur. Vérifiez que le comportement sécuritaire du fournisseur a été contrôlé, et mettez à jour la propriété HostingModel de l'inscription du fournisseur vers un compte disposant du moins d'autorisations possible pour la fonctionnalité requise.

 

 

 

-- Security Event Log ----------------------------------------------------------

 

No Errors/Warnings found.

 

 

-- System Event Log ------------------------------------------------------------

 

Event Record #/Type8758 / Warning

Event Submitted/Written: 07/15/2008 00:50:41 PM

Event ID/Source: 3004 / OneCareMP

Event Description:

L’agent de protection en temps réel %AUTORITE NT29 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciels. %AUTORITE NT29 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%AUTORITE NT295

 

ID d’analyse : {66DEC2BA-8C34-4ADF-B8C5-83559FDA182D}

 

Agent : %AUTORITE NT43

 

Utilisateur : AUTORITE NT\SYSTEM

 

Nom : %AUTORITE NT291

 

ID : %AUTORITE NT292

 

Gravité : 1.5.1955.05

 

Catégorie : 1.5.1955.06

 

Chemin d'accès trouvé : %AUTORITE NT296

 

Type d'alerte : %AUTORITE NT298

 

Nom du processus : C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

 

Type de détection : 1.5.1955.02

 

État : 1.5.1955.00

 

Event Record #/Type8757 / Warning

Event Submitted/Written: 07/15/2008 00:21:29 PM

Event ID/Source: 3004 / OneCareMP

Event Description:

L’agent de protection en temps réel %GA-1D2BDF81865029 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciels. %GA-1D2BDF81865029 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%GA-1D2BDF818650295

 

ID d’analyse : {8318FDD7-2E9A-4CF4-885B-0227F82AB9F0}

 

Agent : %GA-1D2BDF81865043

 

Utilisateur : GA-1D2BDF818650\Gaétan

 

Nom : %GA-1D2BDF818650291

 

ID : %GA-1D2BDF818650292

 

Gravité : 1.5.1955.05

 

Catégorie : 1.5.1955.06

 

Chemin d'accès trouvé : %GA-1D2BDF818650296

 

Type d'alerte : %GA-1D2BDF818650298

 

Nom du processus : C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

 

Type de détection : 1.5.1955.02

 

État : 1.5.1955.00

 

Event Record #/Type8755 / Error

Event Submitted/Written: 07/15/2008 00:17:22 PM

Event ID/Source: 1 / sr

Event Description:

Le filtre de restauration du système à rencontré l'erreur inattendue '0xC0000043' pendant le traitement du fichier 'resume.dat.new' sur le volume 'HarddiskVolume1'. Ceci a entraîné l'arrêt de la surveillance du volume.

 

Event Record #/Type8704 / Error

Event Submitted/Written: 07/15/2008 02:29:38 AM

Event ID/Source: 10005 / DCOM

Event Description:

DCOM a reçu l'erreur "%%1084" lors de la mise en route du service EventSystem avec les arguments ""

pour démarrer le serveur :

{1BE1F766-5536-11D1-B726-00C04FB926AF}

 

Event Record #/Type8703 / Error

Event Submitted/Written: 07/15/2008 02:29:28 AM

Event ID/Source: 10005 / DCOM

Event Description:

DCOM a reçu l'erreur "%%1084" lors de la mise en route du service netman avec les arguments ""

pour démarrer le serveur :

{BA126AE5-2166-11D1-B1D0-00805FC1270E}

 

 

 

-- End of Deckard's System Scanner: finished at 2008-07-15 19:49:09 ------------

 

 

Je les laisse à ton analyse.

 

Bonne journée.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Pas de problème, pour les délais. :P

 

Ca roule. Efface juste ce dossier :

C:\Documents and Settings\Sophie\Application Data\TmpRecentIcons

Et méfie toi des trucs type VirtuagirlHD, on peut ramasser quelques infections avec ça, et surtout le p2p.

 

Plus de symptômes infectieux ?

philou4130 Power Member

philou4130

Posté(e)
  • Auteur
Posté(e)

Merci Falkra.

 

J'ai détruit le dossier.

Je n'ai pas de symptôme particulier sur la session Gaétan.

 

Je viens de me rendre sur la session Sophie et sur la session Virgile où le problème subsiste. Virus Alert à gauche de l'horloge, fonctions limitées...

Je pensais que cela règlait le problème au niveau du PC.

 

Puis je faire tourner Smitfraudfix et Combofix sur ces deux sessions ou me proposes tu une procédure alternative ?

 

Merci de ta réponse.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...