[Résolu] Pas d'accès au panneau de configuration

[chipiwi]

la deuxième partie :

 

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-12 13:15 --------- d-----w C:\Documents and Settings\Alinka\Application Data\uTorrent

2008-09-11 19:51 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-09-11 17:56 --------- d-----w C:\Program Files\Trillian

2008-09-09 19:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-09-02 18:41 --------- d-----w C:\Documents and Settings\Alinka\Application Data\dvdcss

2008-08-28 21:27 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2008-08-27 12:37 5,174 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

2008-08-23 19:47 --------- d-----w C:\Program Files\Java

2008-08-18 13:07 68,432 ----a-w C:\Documents and Settings\Alinka\Application Data\GDIPFONTCACHEV1.DAT

2008-08-17 17:47 --------- d-----w C:\Documents and Settings\Alinka\Application Data\Winamp

2008-08-17 11:23 --------- d-----w C:\Program Files\DivX

2008-08-17 09:40 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-08-07 19:30 --------- d-----w C:\Program Files\Master Converter

2008-08-05 12:22 --------- d-----w C:\Program Files\Windows Live

2008-07-29 18:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll

2008-07-29 18:20 24,774 ----a-w C:\WINDOWS\system32\drivers\klopp.dat

2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-07-23 18:42 --------- d-----w C:\Program Files\Lavasoft

2008-07-23 18:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2008-07-21 16:34 121,872 ----a-w C:\WINDOWS\system32\drivers\kl1.sys

2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-17 20:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll

2008-06-17 20:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll

2008-05-17 16:38 47,360 ----a-w C:\Documents and Settings\Alinka\Application Data\pcouffin.sys

2008-01-04 23:00 847,688 ----a-w C:\Program Files\FGuard.exe

2007-08-21 02:26 469,632 ----a-w C:\WINDOWS\inf\WN121T\WN121T.sys

2007-05-24 12:58 249,856 ----a-w C:\WINDOWS\inf\WN121T\InsDrv2k.exe

2006-07-05 09:21 212,992 ----a-w C:\WINDOWS\inf\WN121T\CopyWHQLDriver.exe

2005-11-17 13:46 845,736 ----a-w C:\WINDOWS\inf\WN121T\DPInst.exe

2008-03-12 12:14 88 --sh--r C:\WINDOWS\system32\6CCE2BD6E3.sys

2008-06-14 15:42 88 --sh--r C:\WINDOWS\system32\A008FA9E23.sys

2008-03-10 10:21 23 --sha-w C:\WINDOWS\system32\fdbaabcbe7_r.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-13 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-12-15 208896]

"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-12-15 69632]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-12 81920]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"LWBMOUSE"="C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe" [2001-03-26 429568]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-12 8429568]

"WinPatrol"="C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe" [2008-07-04 333120]

"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]

"nwiz"="nwiz.exe" [2007-04-12 C:\WINDOWS\system32\nwiz.exe]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 C:\WINDOWS\KHALMNPR.Exe]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 C:\WINDOWS\KHALMNPR.Exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360]

 

C:\Documents and Settings\Alinka\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

NETGEAR WN121T Smart Wizard.lnk - C:\Program Files\NETGEAR\WN121T\wn121t.exe [2007-09-14 1343488]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="C:\\Program Files\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Trillian\\trillian.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\MSN Addon\\mcoinstall.exe"=

 

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]

R2 acedrv11;acedrv11;C:\WINDOWS\system32\drivers\acedrv11.sys [2008-01-23 501560]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]

S3 1671C;1671C;C:\WINDOWS\system32\1671C.sys [ ]

S3 1f5C;1f5C;C:\WINDOWS\system32\1f5C.sys [ ]

S3 23518;23518;C:\WINDOWS\system32\23518.sys [ ]

S3 34116;34116;C:\WINDOWS\system32\34116.sys [ ]

S3 7198;7198;C:\WINDOWS\system32\7198.sys [ ]

S3 7421A;7421A;C:\WINDOWS\system32\7421A.sys [ ]

S3 7cb6;7cb6;C:\WINDOWS\system32\7cb6.sys [ ]

S3 89917;89917;C:\WINDOWS\system32\89917.sys [ ]

S3 94214;94214;C:\WINDOWS\system32\94214.sys [ ]

S3 a35B;a35B;C:\WINDOWS\system32\a35B.sys [ ]

S3 a5012;a5012;C:\WINDOWS\system32\a5012.sys [ ]

S3 b86A;b86A;C:\WINDOWS\system32\b86A.sys [ ]

S3 cf17;cf17;C:\WINDOWS\system32\cf17.sys [ ]

S3 d4113;d4113;C:\WINDOWS\system32\d4113.sys [ ]

S3 d56E;d56E;C:\WINDOWS\system32\d56E.sys [ ]

S3 e6dF;e6dF;C:\WINDOWS\system32\e6dF.sys [ ]

S3 ef810;ef810;C:\WINDOWS\system32\ef810.sys [ ]

S3 f021B;f021B;C:\WINDOWS\system32\f021B.sys [ ]

.

Contenu du dossier 'Tâches planifiées'

.

.

------- Examen supplémentaire -------

.

FireFox -: Profile - C:\Documents and Settings\Alinka\Application Data\Mozilla\Firefox\Profiles\gwb5j7p3.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npyaxmpb.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll

FF -: plugin - C:\Programmes Video\Quick Time\Plugins\npqtplugin.dll

FF -: plugin - C:\Programmes Video\Quick Time\Plugins\npqtplugin2.dll

FF -: plugin - C:\Programmes Video\Quick Time\Plugins\npqtplugin3.dll

FF -: plugin - C:\Programmes Video\Quick Time\Plugins\npqtplugin4.dll

FF -: plugin - C:\Programmes Video\Quick Time\Plugins\npqtplugin5.dll

FF -: plugin - C:\Programmes Video\Quick Time\Plugins\npqtplugin6.dll

FF -: plugin - C:\Programmes Video\Quick Time\Plugins\npqtplugin7.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-15 21:27:37

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-09-15 21:31:20

ComboFix-quarantined-files.txt 2008-09-15 19:30:30

 

Avant-CF: 30,566,961,152 octets libres

AprŠs-CF: 30,536,507,392 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

265 --- E O F --- 2008-09-09 19:52:49

[chipiwi]

le scan de CF_RC :

 

 

Driver::

1671C

1f5C

23518

34116

7198

7421A

7cb6

89917

94214

a35B

a5012

b86A

cf17

d4113

d56E

e6dF

ef810

f021B

 

File::

C:\WINDOWS\shell.exe.ren

C:\WINDOWS\1.jpg

C:\autorun.inf

 

Registry::

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoViewContextMenu"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispCPL"=-

"DisableTaskMgr"=-

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"C:\WINDOWS\shell.exe"=-

"C:\WINDOWS\system32\spoolvs.exe"=-

"C:\WINDOWS\system32\printer.exe"=-

"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe"=-

"%windir%\system32\winav.exe"=-

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\WINDOWS\shell.exe"=-

"C:\WINDOWS\system32\spoolvs.exe"=-

"C:\WINDOWS\system32\printer.exe"=-

"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe"=-

"%windir%\system32\winav.exe"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"nwiz"=-

"NWEReboot"=-

 

FileLook::

C:\WINDOWS\system32\6CCE2BD6E3.sys

C:\WINDOWS\system32\A008FA9E23.sys

C:\WINDOWS\system32\fdbaabcbe7_r.dll

C:\WINDOWS\u39v22.exe

[chipiwi]

et enfin le scan de MBAM :

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1157

Windows 5.1.2600 Service Pack 3

 

15/09/2008 22:08:16

mbam-log-2008-09-15 (22-08-16).txt

 

Type de recherche: Examen rapide

Eléments examinés: 45409

Temps écoulé: 4 minute(s), 27 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sw20 (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sw24 (Trojan.Agent) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\sw20.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\sw24.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

 

 

c'est assez bizarre, il indique le SP3 alors que tu m'as fait réinstallé le SP2 !!!

 

merci encore pour ton aide

 

 

Marie

[Thanos]

salut

 

Ok pour la Console de R2cupération qui est bien installée.

Par contre pour l'étape 2 il va falloir recommencer >> tu as bien téléchargé le fichier CFScript sur le Bureau, mais tu ne l'as pas fait glisser sur le fichier ComboFix.exe ! il ne faut poster son contenu, mais bien le faire glisser comme sur la capture d'image (comme tu as fait pour l'étape 1 en fait).

c'est assez bizarre, il indique le SP3 alors que tu m'as fait réinstallé le SP2 !!!

non, c'est normal, ne t'en fait pas! MBAM affiche SP3 et c'est bien la "version" de ton Windows. Par contre le fichier que tu as téléchargé pour installer la Console de Récupération, est dédié au SP2 normalement (mais ca fonctionne quand même avec ton SP3!).

Modifié le 16 septembre 2008 par Thanos

[chipiwi]

Bonjour

 

 

si j'ai bien compris, c'est le fichier "log.txt" qu'il faut que j'affiche ? (ton explication n'est pas très claire). le CF-Script, je l'ai sans problème (et j'en ai même deux maintenant !!).

[Thanos]

salut

 

Je m'explique de nouveau :

Je t'avais demandé d'utiliser le script CFScript > tu l'a téléchargé puis placé sur le Bureau. Jusque là c'est bon!

Mais ensuite je te demandais de faire glisser ce fichier CFScript sur le fichier ComboFix.exe comme ci-dessous >>

Toi, en fait, tu as ouvert le fichier CFScript.txt et tu en as posté le contenu dans ta réponse (Hier à 22h48)

Donc ce que je te demande, c'est de faire la manipulation décrite dans la petite capture ci-dessus et de poster le rapport généré qui se nomme ComboFix.txt ( tu peux poster ce rapport en une fois).

 

si tu ne comprends pas, n'hésite pas

 

PS: j'aurais aussi besoin stp que tu effectues la manipulation suivante >>

 

1°) Assure toi d'avoir accès à tous les fichiers car certains fichiers/dossiers sont cachés: pour celà procède ainsi >>

Passe par Démarrer, Poste de travail ou ouvre un dossier (n'importe lequel) > choisis le menu Outils > Option des dossiers > onglet Affichage :

Coche la case : Afficher les fichiers et dossiers cachés

Décoche la case : Masquer les extensions des fichiers dont le type est connu

Décoche la case : Masquer les fichiers protégés du système d'exploitation

clique sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" puis OK

2°) J'aimerai que tu m'expédies un fichier stp >>

• Fais un clic droit sur le dossier C:\Documents and Settings\Alinka\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine
  
• Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé
  
• Un fichier nommé Quarantine.zip doit apparaitre dans le même répertoire.
  
• Rend toi ensuite sur cette page > http://www.sendspace.com
  
• Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\Documents and Settings\Alinka\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine.zip
  
• Clique maintenant sur "ouvrir" en bas de la fenêtre.
  
• Coche la case "I have read and agree to the terms of service."
  
• Clique enfin sur le bouton Upload File .
  
• Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp
  

merci

Modifié le 16 septembre 2008 par Thanos

[chipiwi]

Bonsoir !!

 

Désolée, j'étais pas de la journée, j'ai fait l'analyse ce soir. Je savais bien que j'avais raté quelque chose mais où ?? lol, merci de l'avoir remarquer, le CFScript me semblait bien bizarre. Maintenant, je sais pourquoi !

 

Donc, là, le vrai rapport cherché à la racine du C !

 

ComboFix 08-09-14.01 - Alinka 2008-09-17 20:29:22.6 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3212 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\Alinka\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Alinka\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\shell.exe

C:\WINDOWS\system32\printer.exe

C:\WINDOWS\system32\spoolvs.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-17 au 2008-09-17 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-14 13:32 . 2008-09-14 13:33 <REP> d-------- C:\rsit

2008-09-12 14:02 . 2008-09-12 14:02 244 --ah----- C:\sqmnoopt04.sqm

2008-09-12 14:02 . 2008-09-12 14:02 232 --ah----- C:\sqmdata04.sqm

2008-09-12 14:00 . 2008-09-12 14:00 244 --ah----- C:\sqmnoopt03.sqm

2008-09-12 14:00 . 2008-09-12 14:00 232 --ah----- C:\sqmdata03.sqm

2008-09-11 22:02 . 2008-09-15 14:46 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\SPORE

2008-09-11 19:52 . 2008-09-17 19:48 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\.purple

2008-09-11 19:48 . 2008-09-11 19:52 <REP> d-------- C:\Program Files\Aspell

2008-09-11 19:43 . 2008-09-11 19:52 <REP> d-------- C:\Program Files\Pidgin

2008-09-11 16:20 . 2008-09-13 18:18 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\gtk-2.0

2008-09-11 16:20 . 2008-09-11 16:20 <REP> d-------- C:\Documents and Settings\Alinka\.thumbnails

2008-09-11 16:17 . 2008-09-11 16:38 <REP> d-------- C:\Documents and Settings\Alinka\.gimp-2.4

2008-09-11 16:16 . 2008-09-11 16:16 <REP> d-------- C:\Program Files\GIMP-2.0

2008-09-10 11:25 . 2008-09-14 13:32 <REP> d-------- C:\HijackThis

2008-09-08 20:46 . 2008-09-08 20:46 <REP> d-------- C:\Program Files\BillP Studios

2008-09-08 20:46 . 2008-09-08 20:46 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\WinPatrol

2008-09-08 11:03 . 2008-09-08 11:03 <REP> d-------- C:\Documents and Settings\Alinka\DoctorWeb

2008-09-07 23:25 . 2008-09-07 23:25 1,355 --a------ C:\WINDOWS\imsins.BAK

2008-09-07 20:39 . 2008-09-07 20:53 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Application Data\uTorrent

2008-09-05 21:09 . 2008-09-05 21:09 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\DoctorWeb

2008-09-04 21:46 . 2008-09-04 21:52 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-09-04 21:46 . 2008-09-04 21:46 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-09-04 21:45 . 2008-09-04 21:45 <REP> d-------- C:\Program Files\Kaspersky Lab

2008-09-04 21:45 . 2008-09-17 20:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-09-04 21:45 . 2008-09-17 20:26 5,021,216 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-09-04 21:45 . 2008-09-17 20:26 696,352 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-09-04 21:45 . 2008-09-17 20:26 41,356 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-09-04 21:45 . 2008-09-17 20:26 4,508 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-09-04 21:15 . 2008-09-04 21:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files

2008-09-04 16:53 . 2008-09-04 17:14 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Application Data\Spyware Terminator

2008-09-04 14:47 . 2008-09-04 14:47 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\Malwarebytes

2008-09-04 14:42 . 2008-09-10 12:06 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-09-04 14:42 . 2008-09-04 14:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-09-04 14:42 . 2008-09-04 14:42 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Application Data\Malwarebytes

2008-09-04 14:42 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-04 14:42 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-09-02 23:24 . 2008-09-02 23:24 47,360 --a------ C:\Documents and Settings\Administrateur.LITTLE-BABY\Application Data\pcouffin.sys

2008-09-02 23:23 . 2008-09-02 23:24 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Application Data\Vso

2008-09-02 21:59 . 2008-09-02 22:22 <REP> d-------- C:\Program Files\CCleaner

2008-09-02 21:05 . 2008-09-02 21:06 <REP> d-------- C:\Program Files\Opera

2008-09-02 18:30 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

2008-09-02 18:30 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys

2008-09-01 18:08 . 2008-09-01 18:08 <REP> d-------- C:\WINDOWS\ServicePackFiles

2008-09-01 18:08 . 2008-04-13 19:34 294,912 -----c--- C:\WINDOWS\system32\dllcache\dlimport.exe

2008-09-01 18:05 . 2006-12-28 12:01 19,569 --a------ C:\WINDOWS\002893_.tmp

2008-09-01 17:55 . 2008-09-01 17:55 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Application Data\DAEMON Tools

2008-09-01 13:37 . 2008-09-01 17:24 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Application Data\.clamwin

2008-08-31 23:24 . 2008-09-04 13:52 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-08-31 22:41 . 2008-08-31 22:41 153,144 --a------ C:\ewido_micro.exe

2008-08-31 21:13 . 2008-08-31 21:53 <REP> d-------- C:\Program Files\Winpooch

2008-08-31 21:13 . 2006-07-16 18:48 1,073,152 --a------ C:\WINDOWS\system32\FreeImage.dll

2008-08-31 21:13 . 2007-04-21 00:38 516,096 --a------ C:\WINDOWS\system32\libclamav.dll

2008-08-31 19:10 . 2008-08-31 19:10 <REP> d-------- C:\Program Files\Trend Micro

2008-08-31 19:07 . 2008-03-09 11:32 <REP> d--h----- C:\Documents and Settings\Administrateur.LITTLE-BABY\Voisinage réseau

2008-08-31 19:07 . 2008-03-09 11:32 <REP> d--h----- C:\Documents and Settings\Administrateur.LITTLE-BABY\Voisinage d'impression

2008-08-31 19:07 . 2008-03-09 10:44 <REP> d--h----- C:\Documents and Settings\Administrateur.LITTLE-BABY\Modèles

2008-08-31 19:07 . 2008-09-06 01:11 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Mes documents

2008-08-31 19:07 . 2008-09-07 20:39 <REP> dr------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Menu Démarrer

2008-08-31 19:07 . 2008-03-09 11:32 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Favoris

2008-08-31 19:07 . 2008-09-07 20:39 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY\Bureau

2008-08-31 19:07 . 2008-09-07 20:55 <REP> d-------- C:\Documents and Settings\Administrateur.LITTLE-BABY

2008-08-31 18:38 . 2008-09-04 21:44 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-08-31 16:49 . 2008-08-31 17:03 <REP> d-------- C:\Documents and Settings\Administrateur\Modèles

2008-08-31 16:49 . 2008-08-31 17:03 <REP> d---s---- C:\Documents and Settings\Administrateur

2008-08-31 13:50 . 2008-08-31 13:50 <REP> d-------- C:\Program Files\MSXML 6.0

2008-08-31 13:49 . 2008-08-31 13:50 <REP> d-------- C:\Program Files\Microsoft SQL Server

2008-08-31 13:26 . 2007-02-25 15:36 383,238 --a------ C:\WINDOWS\system32\libmp3lame-0.dll

2008-08-30 22:05 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll

2008-08-30 22:05 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll

2008-08-30 22:05 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll

2008-08-30 22:05 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll

2008-08-30 22:05 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll

2008-08-30 22:05 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll

2008-08-29 23:45 . 2008-08-29 23:45 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\ProtectDisc

2008-08-29 20:16 . 2008-08-31 11:24 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\SPORE Creature Creator

2008-08-26 16:41 . 2008-08-30 22:23 50 --a------ C:\WINDOWS\MegaManager.INI

2008-08-26 15:24 . 2008-09-16 15:01 <REP> d-------- C:\Program Files\PeerGuardian2

2008-08-23 22:00 . 2008-09-01 13:33 <REP> d-------- C:\Documents and Settings\Alinka\Temp

2008-08-21 20:42 . 2008-08-21 20:42 0 --------- C:\WINDOWS\WB.ini

2008-08-21 16:55 . 2008-08-21 16:55 <REP> d-------- C:\Program Files\PowerISO

2008-08-20 17:45 . 2001-11-07 17:06 135,168 --a------ C:\WINDOWS\u39v22.exe

2008-08-20 17:29 . 2008-08-20 17:29 99 --a------ C:\WINDOWS\Sagemexpl.ini

2008-08-20 17:25 . 2008-08-20 17:25 <REP> d-------- C:\Program Files\Apple Software Update

2008-08-20 17:25 . 2008-08-20 17:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-08-20 17:25 . 2008-08-20 17:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2008-08-18 11:03 . 2008-08-18 11:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Movavi VideoSuite 5

2008-08-17 21:24 . 2008-08-20 15:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-08-17 21:24 . 2008-08-17 21:24 1,409 --a------ C:\WINDOWS\QTFont.for

2008-08-17 20:53 . 2008-08-17 20:53 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2008-08-17 20:53 . 2008-08-17 20:53 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf

2008-08-17 20:48 . 2008-08-17 20:48 1,419,232 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll

2008-08-17 20:48 . 2008-08-17 20:48 21,672 --a------ C:\WINDOWS\system32\drivers\ggsemc.sys

2008-08-17 20:48 . 2008-08-17 20:48 13,352 --a------ C:\WINDOWS\system32\drivers\ggflt.sys

2008-08-17 20:42 . 2008-08-17 20:42 0 --a------ C:\WINDOWS\mngui.INI

2008-08-17 20:40 . 2007-04-24 11:33 100,488 -ra------ C:\WINDOWS\system32\drivers\s125mgmt.sys

2008-08-17 20:40 . 2007-04-24 11:33 98,696 -ra------ C:\WINDOWS\system32\drivers\s125obex.sys

2008-08-17 20:35 . 2007-04-24 11:33 108,680 -ra------ C:\WINDOWS\system32\drivers\s125mdm.sys

2008-08-17 20:35 . 2007-04-24 11:33 83,336 -ra------ C:\WINDOWS\system32\drivers\s125bus.sys

2008-08-17 20:35 . 2007-04-24 11:33 15,112 -ra------ C:\WINDOWS\system32\drivers\s125mdfl.sys

2008-08-17 20:35 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125whnt.sys

2008-08-17 20:35 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125wh.sys

2008-08-17 20:35 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cmnt.sys

2008-08-17 20:35 . 2007-04-24 11:33 12,424 -ra------ C:\WINDOWS\system32\drivers\s125cm.sys

2008-08-17 20:33 . 2008-08-17 20:41 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\Teleca

2008-08-17 20:27 . 2008-08-17 20:47 <REP> d-------- C:\Program Files\Sony Ericsson

2008-08-17 20:27 . 2008-08-17 20:31 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared

2008-08-17 20:27 . 2008-08-17 20:27 <REP> d-------- C:\Program Files\Fichiers communs\Sony Ericsson Shared

2008-08-17 20:27 . 2008-08-17 20:27 <REP> d-------- C:\Documents and Settings\Alinka\Application Data\Sony Ericsson

2008-08-17 20:25 . 2008-08-17 20:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Teleca

2008-08-17 20:25 . 2008-08-17 20:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-12 13:15 --------- d-----w C:\Documents and Settings\Alinka\Application Data\uTorrent

2008-09-11 19:51 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-09-11 17:56 --------- d-----w C:\Program Files\Trillian

2008-09-09 19:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-09-02 18:41 --------- d-----w C:\Documents and Settings\Alinka\Application Data\dvdcss

2008-08-28 21:27 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2008-08-27 12:37 5,174 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

2008-08-23 19:47 --------- d-----w C:\Program Files\Java

2008-08-18 13:07 68,432 ----a-w C:\Documents and Settings\Alinka\Application Data\GDIPFONTCACHEV1.DAT

2008-08-17 17:47 --------- d-----w C:\Documents and Settings\Alinka\Application Data\Winamp

2008-08-17 11:23 --------- d-----w C:\Program Files\DivX

2008-08-17 09:40 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-08-07 19:30 --------- d-----w C:\Program Files\Master Converter

2008-08-05 12:22 --------- d-----w C:\Program Files\Windows Live

2008-07-29 18:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll

2008-07-29 18:20 24,774 ----a-w C:\WINDOWS\system32\drivers\klopp.dat

2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-07-23 18:42 --------- d-----w C:\Program Files\Lavasoft

2008-07-23 18:41 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2008-07-21 16:34 121,872 ----a-w C:\WINDOWS\system32\drivers\kl1.sys

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-17 20:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll

2008-06-17 20:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll

2008-05-17 16:38 47,360 ----a-w C:\Documents and Settings\Alinka\Application Data\pcouffin.sys

2008-01-04 23:00 847,688 ----a-w C:\Program Files\FGuard.exe

2007-08-21 02:26 469,632 ----a-w C:\WINDOWS\inf\WN121T\WN121T.sys

2007-05-24 12:58 249,856 ----a-w C:\WINDOWS\inf\WN121T\InsDrv2k.exe

2006-07-05 09:21 212,992 ----a-w C:\WINDOWS\inf\WN121T\CopyWHQLDriver.exe

2005-11-17 13:46 845,736 ----a-w C:\WINDOWS\inf\WN121T\DPInst.exe

2008-03-12 12:14 88 --sh--r C:\WINDOWS\system32\6CCE2BD6E3.sys

2008-06-14 15:42 88 --sh--r C:\WINDOWS\system32\A008FA9E23.sys

2008-03-10 10:21 23 --sha-w C:\WINDOWS\system32\fdbaabcbe7_r.dll

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\6CCE2BD6E3.sys -- Not a PE file.

MD5: cf0fc32a547d5a2f063965635709e49d

 

C:\WINDOWS\system32\A008FA9E23.sys -- Not a PE file.

MD5: e0c27c220b77c65709fd3dfb2b64c5c1

 

C:\WINDOWS\system32\fdbaabcbe7_r.dll -- Not a PE file.

MD5: f812f2b2871c745e72d76ed8169f50b8

 

 

---- C:\WINDOWS\u39v22.exe ----

Company:

File Description: rm2303 MFC Application

File Version: 1, 3, 0, 1

Product Name: rm2303 Application

Copyright: Copyright © 2000

Original file name: rm2303.EXE

MD5: d2e58250056996fec0023e8ef08c8563

 

 

((((((((((((((((((((((((((((( snapshot_2008-09-15_21.54.20.42 )))))))))))))))))))))))))))))))))))))))))

.

- 2007-07-30 18:19:20 92,504 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll

+ 2008-07-18 20:10:48 94,920 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll

- 2007-07-30 18:19:36 549,720 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll

+ 2008-07-18 20:09:44 563,912 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll

- 2007-07-30 18:19:16 53,080 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

+ 2008-07-18 20:10:42 53,448 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

- 2007-07-30 18:19:42 1,712,984 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

+ 2008-07-18 20:09:42 1,811,656 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

- 2007-07-30 18:19:32 325,976 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll

+ 2008-07-18 20:09:46 325,832 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll

- 2007-07-30 18:18:40 33,624 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll

+ 2008-07-18 20:10:20 36,552 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll

- 2007-07-30 18:19:28 203,096 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll

+ 2008-07-18 20:09:44 205,000 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll

+ 2008-07-18 20:10:20 36,552 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.784\wups.dll

+ 2008-07-18 20:10:40 45,768 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.784\wups2.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-13 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-12 81920]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"LWBMOUSE"="C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe" [2001-03-26 429568]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-12 8429568]

"WinPatrol"="C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe" [2008-07-04 333120]

"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 C:\WINDOWS\KHALMNPR.Exe]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 C:\WINDOWS\KHALMNPR.Exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360]

 

C:\Documents and Settings\Alinka\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

NETGEAR WN121T Smart Wizard.lnk - C:\Program Files\NETGEAR\WN121T\wn121t.exe [2007-09-14 1343488]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="C:\\Program Files\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Trillian\\trillian.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\MSN Addon\\mcoinstall.exe"=

 

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]

R2 acedrv11;acedrv11;C:\WINDOWS\system32\drivers\acedrv11.sys [2008-01-23 501560]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]

.

Contenu du dossier 'Tâches planifiées'

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-17 20:32:58

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

**************************************************************************

.

Heure de fin: 2008-09-17 20:36:01

ComboFix-quarantined-files.txt 2008-09-17 18:34:57

ComboFix2.txt 2008-09-16 08:29:05

 

Avant-CF: 30,416,658,432 octets libres

AprŠs-CF: 30,406,045,696 octets libres

 

264 --- E O F --- 2008-09-09 19:52:49

 

 

 

 

 

Une question au passage, ComboFix marque :

 

Avant-CF: 30,416,658,432 octets libres

AprŠs-CF: 30,406,045,696 octets libres

 

Cela correspond à quoi exactement ?? aux fichiers qu'il a supprimé ? envoyer en quarantaine ? ou tout simplement compression de données ?

 

Et ça veut dire quoi : not a PE file ?? (ok, ça fait 2 questions....)

 

Sinon, pour le deuxième, je te l'envoie donc en MP.

 

 

Merci d'avance

 

Marie

[Thanos]

salut

 

L'infection résiste: on va passer un outil spécialisé >>

 

Télécharge SmitfraudFix de S!Ri sur ton bureau

• Double clique sur SmitfraudFix.exe
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  
• Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.
  

Une question au passage, ComboFix marque :

 

Avant-CF: 30,416,658,432 octets libres

AprŠs-CF: 30,406,045,696 octets libres

 

Cela correspond à quoi exactement ?? aux fichiers qu'il a supprimé ? envoyer en quarantaine ? ou tout simplement compression de données ?

ComboFix élimine des fichiers/clés de registre, mais il crée aussi des sauvegardes ainsi que d'autres fichiers (dont il a besoin) qui pèsent un certain poids, d'où la différence d'espace avant et après son passage.

Et ça veut dire quoi : not a PE file ?? (ok, ça fait 2 questions....)

cela siginifie que ce n'est pas un fichier au format PE. C'est un peu technique en fait, mais tu as une explication succinte ici >> http://fr.wikipedia.org/wiki/Portable_Executable_File_Format

 

merci pour le fichier que tu m'a expédié

[chipiwi]

Bonjour !!

 

C'est bien ce que je me doutais car après l'installation de la SP2 pro et les différents scans, j'avais de nouveau accès à mon panneau de configuration ainsi qu'au clic droit.

 

Toute contente, je mets à jour ces logiciels (comme d'habitude): Ad-Aware, MBAM, Dr. Web, PeerGuardian2 (au passage, il a pu effectué que 2 updates sur les 4 requises) et Karpesky Antivirus.(comme je me doutais plus ou moins que l'infection était toujours là, je n'ai mis à jour que ces logiciels !)

 

 

Karspeky me demande de redémarrer pour que ses mises à jour soient effectives, ce que je fait volontier et qui voit-je réapparraitre dans ma barre de tâches ?? Pas une mais deux icones de Windows Antivirus !!!! grrrr.......

 

 

Je demande si l'un de ces logiciels est infecté et si oui, pourquoi les autres l'ont pas détectés et si non, peut-être que Karpesky lui-même est infecté (bien que j'en doute, il arrive à me mette les fichiers infectés en quarantaine (findfast.exe, printer.exe....etc) (toujours les mêmes en fait)

 

 

En attendant, je vais éviter les redémarrage à chaud.

 

Marie

[chipiwi]

Et voici, le rapport de Smitfraud :

 

SmitFraudFix v2.352

 

Rapport fait à 10:16:10,20, 18/09/2008

Executé à partir de C:\Documents and Settings\Alinka\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\NETGEAR\WN121T\wn121t.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Alinka\Bureau\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alinka

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Alinka\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Alinka\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"appinit_dlls"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Au passage, j'ai dû fermer Karpesky qui refusait que je l'enregistre sur le bureau !! Impossible de le télécharger sinon !

 

Merci d'avance

 

Marie