Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

virus alert

vieuxrusé

Par vieuxrusé
dans Analyses et éradication malwares

 Partager

Messages recommandés

vieuxrusé Member

vieuxrusé

Posté(e)
  • Auteur
Posté(e)

Me voici de nouveau c'est toujours la même m..... ci joint le rapport combofix demandé je ne sais pas si j'ai bien fait mais le PC a redemaré est comme kerio se mettait en alerte je suis passé en mode sans echec pour ce rapport.

Autre chose un anti virus (Rapid antivirus 2.7) est apparu comme par enchantement et ce met en action.

Un raccourci sur le bureau également (BEST BDSM PORN) apparu je pense qu'il y a du boulot.

 

Bonne lecture je croise les doigts

ComboFix 08-10-14.03 - DEMARAIS 2008-10-14 22:00:16.1 - NTFSx86

Lancé depuis: C:\telecharfirefox\ComboFix.exe

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

E:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

E:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

E:\Documents and Settings\DEMARAIS\Application Data\Adobe\Player.exe

E:\Documents and Settings\DEMARAIS\Application Data\inst.exe

E:\Program Files\PCHealthCenter

E:\Program Files\PCHealthCenter\0.exe

E:\Program Files\PCHealthCenter\0.gif

E:\Program Files\PCHealthCenter\1.exe

E:\Program Files\PCHealthCenter\1.gif

E:\Program Files\PCHealthCenter\1.ico

E:\Program Files\PCHealthCenter\2.exe

E:\Program Files\PCHealthCenter\2.gif

E:\Program Files\PCHealthCenter\2.ico

E:\Program Files\PCHealthCenter\3.exe

E:\Program Files\PCHealthCenter\3.gif

E:\Program Files\PCHealthCenter\4.exe

E:\Program Files\PCHealthCenter\5.exe

E:\Program Files\PCHealthCenter\7.exe

E:\Program Files\PCHealthCenter\foo.txt

E:\Program Files\PCHealthCenter\sc.html

E:\WINDOWS\privacy_danger

E:\WINDOWS\privacy_danger\images\body.gif

E:\WINDOWS\privacy_danger\images\capt.gif

E:\WINDOWS\privacy_danger\images\capt2.gif

E:\WINDOWS\privacy_danger\images\red.gif

E:\WINDOWS\privacy_danger\images\text.gif

E:\WINDOWS\privacy_danger\index.htm

E:\WINDOWS\system32\1.ico

E:\WINDOWS\system32\2.ico

E:\WINDOWS\system32\aptwah.dll

E:\WINDOWS\system32\awtQIAtT.dll

E:\WINDOWS\system32\ddcDwxuu.dll

E:\WINDOWS\system32\efcAsqrQ.dll

E:\WINDOWS\system32\efcBuvVl.dll

E:\WINDOWS\system32\efcCvSIy.dll

E:\WINDOWS\system32\fccaXQkK.dll

E:\WINDOWS\system32\fykcybfg.dll

E:\WINDOWS\system32\iiffETNE.dll

E:\WINDOWS\system32\isabawbx.dll

E:\WINDOWS\system32\KkQXaccf.ini

E:\WINDOWS\system32\KkQXaccf.ini2

E:\WINDOWS\system32\kvmjgjjw.dll

E:\WINDOWS\system32\lknpcp.dll

E:\WINDOWS\system32\pftvusdu.dll

E:\WINDOWS\system32\pmnMdEwT.dll

E:\WINDOWS\system32\rjenon.dll

E:\WINDOWS\system32\twuhwj.dll

E:\WINDOWS\system32\udsuvtfp.ini

E:\WINDOWS\system32\wefwrxan.dll

E:\WINDOWS\system32\wvUmlmJD.dll

 

----- BITS: Il y a peut-être des sites infectés -----

 

hxxp://78.157.143.198

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-14 au 2008-10-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-10-14 21:55 . 2008-10-14 21:55 <REP> d-------- E:\Program Files\Rapid Antivirus

2008-10-14 21:55 . 2008-10-14 21:55 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Rapid Antivirus

2008-10-14 21:55 . 2008-10-14 21:55 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\0000005738

2008-10-14 10:22 . 2008-10-14 10:22 <REP> d-------- E:\Documents and Settings\All Users\Application Data\jwbwtsfi

2008-10-14 10:18 . 2008-10-14 07:31 225,280 --a------ E:\WINDOWS\ngwstxfd.dll

2008-10-14 10:18 . 2008-10-14 07:31 212,992 --a------ E:\WINDOWS\rosqxvmn.dll

2008-10-14 10:18 . 2008-10-14 07:31 86,016 --a------ E:\WINDOWS\lomxeqsn.exe

2008-10-14 09:43 . 2008-10-14 09:43 <REP> d-------- E:\rsit

2008-10-14 09:35 . 2008-10-14 09:35 <REP> d-------- E:\SDFix

2008-10-14 09:08 . 2008-10-14 09:08 <REP> d-------- E:\Program Files\Malwarebytes' Anti-Malware

2008-10-14 09:08 . 2008-09-10 00:04 38,528 --a------ E:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-14 09:08 . 2008-09-10 00:03 17,200 --a------ E:\WINDOWS\system32\drivers\mbam.sys

2008-10-13 21:57 . 2008-10-14 08:52 3,392 --a------ E:\WINDOWS\system32\tmp.reg

2008-10-13 21:53 . 2008-10-13 22:05 <REP> d-------- E:\Documents and Settings\DEMARAIS\SmitfraudFix

2008-10-13 21:23 . 2008-10-13 21:24 <REP> d-------- E:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2008-10-13 20:58 . 2008-10-13 20:58 <REP> d-------- E:\Program Files\Panda Security

2008-10-13 19:52 . 2008-10-14 09:26 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\sp2

2008-10-13 18:48 . 2008-10-13 18:52 <REP> d-------- E:\WINDOWS\system32\AVGUARD_48fa09da

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d--h----- E:\Documents and Settings\Administrateur\Voisinage réseau

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d--h----- E:\Documents and Settings\Administrateur\Voisinage d'impression

2008-10-13 17:57 . 2008-05-15 02:12 <REP> d--h----- E:\Documents and Settings\Administrateur\Modèles

2008-10-13 17:57 . 2008-10-14 08:27 <REP> d-------- E:\Documents and Settings\Administrateur\Mes documents

2008-10-13 17:57 . 2008-05-14 23:20 <REP> dr------- E:\Documents and Settings\Administrateur\Menu Démarrer

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d-------- E:\Documents and Settings\Administrateur\Favoris

2008-10-13 17:57 . 2008-10-14 08:39 <REP> d-------- E:\Documents and Settings\Administrateur\Bureau

2008-10-13 17:57 . 2008-10-13 17:57 <REP> d-------- E:\Documents and Settings\Administrateur

2008-10-13 17:56 . 2008-10-13 17:56 167 --a------ E:\WINDOWS\system32\drivers\fwdrv.err

2008-10-13 17:33 . 2008-10-13 17:33 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Malwarebytes

2008-10-13 17:33 . 2008-10-13 17:33 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-09 17:59 . 2008-10-10 18:14 <REP> d-------- E:\Program Files\Intuisphere

2008-10-09 17:09 . 2008-10-12 17:13 54,156 --ah----- E:\WINDOWS\QTFont.qfn

2008-10-09 17:09 . 2008-10-09 17:09 1,409 --a------ E:\WINDOWS\QTFont.for

2008-10-09 16:12 . 2008-10-09 16:13 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\DeepBurner

2008-10-08 18:55 . 2008-10-08 18:55 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Acoustica

2008-10-08 14:10 . 2008-10-08 14:10 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Canneverbe_Limited

2008-10-06 18:19 . 2008-10-06 19:18 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Nero

2008-10-04 13:15 . 2008-10-04 13:15 4,767 --a------ E:\WINDOWS\Irremote.ini

2008-10-04 12:36 . 2008-10-04 13:43 <REP> d-------- E:\Program Files\Fichiers communs\Nero

2008-10-04 12:36 . 2008-10-04 13:02 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Nero

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-14 19:48 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\Spamihilator

2008-10-13 14:09 --------- d-----w E:\Documents and Settings\All Users\Application Data\DVD Shrink

2008-10-13 13:12 --------- d---a-w E:\Documents and Settings\All Users\Application Data\TEMP

2008-10-07 15:13 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\gtk-2.0

2008-10-06 15:43 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\dvdcss

2008-10-04 11:12 --------- d-----w E:\Program Files\Nero

2008-10-03 12:33 --------- d-----w E:\Program Files\Fichiers communs\Ahead

2008-10-03 12:30 --------- d--h--w E:\Program Files\InstallShield Installation Information

2008-10-03 12:30 --------- d-----w E:\Documents and Settings\All Users\Application Data\Ulead Systems

2008-09-13 18:28 --------- d-----w E:\Program Files\Fichiers communs\Adobe

2008-09-13 11:42 --------- d-----w E:\Program Files\Fichiers communs\Macrovision Shared

2008-08-18 16:45 --------- d-----w E:\Program Files\Microsoft Silverlight

2008-06-21 07:23 47,360 ----a-w E:\Documents and Settings\DEMARAIS\Application Data\pcouffin.sys

.

 

------- Sigcheck -------

 

2006-06-21 00:05 578048 c34920eb988ce98910bd6b0417f334eb E:\WINDOWS\system32\user32.dll

 

2006-06-21 00:22 2059008 5311776074b6c13f983dc75baeac9c0c E:\WINDOWS\system32\ntkrnlpa.exe

 

2006-06-21 00:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a E:\WINDOWS\system32\ntoskrnl.exe

 

2006-05-17 00:39 1036288 76b3d5a12e1008fd656921d3035783f1 E:\WINDOWS\explorer.exe

 

2006-06-21 00:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 E:\WINDOWS\system32\spoolsv.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{5DEF05FD-97CC-4EAE-A4E9-000062CB0C25}"= "E:\WINDOWS\rosqxvmn.dll" [2008-10-14 212992]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

"RoboForm"="C:\Program Files\Siber Systems\RoboTaskBarIcon.exe" [2008-09-11 160592]

"TomTomHOME.exe"="c:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]

"\YUR8.exe"="C:\Windows\system32\YUR8.exe" [2008-10-10 25088]

"\YUR9.exe"="C:\Windows\system32\YUR9.exe" [2008-10-10 25088]

"\YURA.exe"="C:\Windows\system32\YURA.exe" [2008-10-10 24064]

"\YURB.exe"="C:\Windows\system32\YURB.exe" [2008-10-10 24064]

"\YURD.exe"="C:\Windows\system32\YURD.exe" [2008-10-10 74752]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2005-06-15 6803456]

"NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 86016]

"HPDJ Taskbar Utility"="E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-11-22 188416]

"Spamihilator"="c:\Program Files\Spamihilator\spamihilator.exe" [2008-04-05 1060864]

"SunJavaUpdateSched"="E:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"\YUR8.exe"="C:\Windows\system32\YUR8.exe" [2008-10-10 25088]

"\YUR9.exe"="C:\Windows\system32\YUR9.exe" [2008-10-10 25088]

"\YURA.exe"="C:\Windows\system32\YURA.exe" [2008-10-10 24064]

"\YURB.exe"="C:\Windows\system32\YURB.exe" [2008-10-10 24064]

"\YURD.exe"="C:\Windows\system32\YURD.exe" [2008-10-10 74752]

"nwiz"="nwiz.exe" [2005-06-15 E:\WINDOWS\system32\nwiz.exe]

 

E:\Documents and Settings\DEMARAIS\Menu D‚marrer\Programmes\D‚marrage\

Rapid Antivirus.lnk - E:\Program Files\Rapid Antivirus\Rapid Antivirus.exe [2008-10-14 701952]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"NoResolveTrack"= 0 (0x0)

"NoResolveSearch"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMFUprogramsList"= 0 (0x0)

"NoUserNameInStartMenu"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"NoInstrumentation"= 0 (0x0)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

"DisallowCpl"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"ngwstxfd"= {7883E292-6B3E-43C2-82A7-9B6AFB2E710A} - E:\WINDOWS\ngwstxfd.dll [2008-10-14 225280]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= vdrcodec.dll

"vidc.dvsd"= pdvcodec.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.MJPG"= Pvmjpg30.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"AntiVirusOverride"=dword:00000001

"UpdatesDisableNotify"="0x00000000"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R1 fwdrv;Firewall Driver;E:\WINDOWS\system32\drivers\fwdrv.sys [2005-12-15 274432]

R3 fbxusb;FreeBox USB Network Adapter;E:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 18848]

S0 avgntmgr;avgntmgr;E:\WINDOWS\system32\drivers\avgntmgr.sys [ ]

S1 avgntdd;avgntdd;E:\WINDOWS\system32\DRIVERS\avgntdd.sys [ ]

S1 khips;Kerio HIPS Driver;E:\WINDOWS\system32\drivers\khips.sys [2005-12-15 81920]

S2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;E:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]

S2 NMSAccessU;NMSAccessU;c:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]

S3 usbscan;Pilote de scanneur USB;E:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 USBSTOR;Pilote de stockage de masse USB;E:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac439b7a-2384-11dd-9cc8-0007cb0000ff}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{7ae89399-001c-4557-93e9-98b3277000e0} - E:\WINDOWS\system32\lknpcp.dll

BHO-{93105498-AF47-40B8-A48C-441DFA6C4774} - E:\WINDOWS\system32\fccaXQkK.dll

BHO-{B2ADB537-AFF6-4D72-BA77-DA012A6FDEA6} - E:\WINDOWS\system32\wvUmlmJD.dll

Toolbar-{6366459B-45A6-489C-9726-429617BB05C2} - (no file)

HKCU-Run-Player - E:\Documents and Settings\DEMARAIS\Application Data\Adobe\Player.exe

HKLM-Run-avgnt - E:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

HKLM-Run-405ee515 - E:\WINDOWS\system32\pftvusdu.dll

ShellExecuteHooks-{36DC214C-02C4-4341-8A84-997F4772E1E5} - (no file)

ShellExecuteHooks-{B2ADB537-AFF6-4D72-BA77-DA012A6FDEA6} - E:\WINDOWS\system32\wvUmlmJD.dll

Notify-pMDUnLDw - pMDUnLDw.dll

 

 

.

------- Examen supplémentaire -------

.

FireFox -: Profile - E:\Documents and Settings\DEMARAIS\Application Data\Mozilla\Firefox\Profiles\idaufaqv.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.free.fr/

FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin.dll

FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin2.dll

FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin3.dll

FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin4.dll

FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin5.dll

FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin6.dll

FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin7.dll

FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll

FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll

FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF -: plugin - E:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - E:\Program Files\Microsoft Silverlight\2.0.30523.8\npctrl.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-14 22:21:22

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

**************************************************************************

.

Heure de fin: 2008-10-14 22:31:46 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-10-14 20:30:41

 

Avant-CF: 7 666 700 288 octets libres

Après-CF: 9,822,244,864 octets libres

 

246

vieuxrusé Member

vieuxrusé

Posté(e)
  • Auteur
Posté(e)

Ok ça marche Je bosse de nouveau cet AM alors je verrais au retours. au fait j'ai réutilisé combo et je l'ai laissé redémarer en mode normal après son travail . Les messages alerte virus n'apparaissent plus, l'image de de fond avec un antispiware disparu également. Veux tu que je poste le dernier rapport?

Antivir est installé mais je ne parviens pas à le mettre en action ni à faire de mise à jour. Chaque chose en son temps va tu me dire alors à tout à l'heure.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

Désolé pour l'attente!

j'ai réutilisé combo et je l'ai laissé redémarer en mode normal après son travail . Les messages alerte virus n'apparaissent plus, l'image de de fond avec un antispiware disparu également. Veux tu que je poste le dernier rapport?

Non: on va continuer comme ceci >>

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/nyivwh

Pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: CFScript

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de vieuxrusé : Vous ne devez en aucun cas l'utiliser sur votre pc!

Poste le rapport stp :P

vieuxrusé Member

vieuxrusé

Posté(e)
  • Auteur
Posté(e)

me revoili me revoilà voici le rapport prend de nouveau ton temps pour l'analyse il se fait tard.

J'ai depuis ce matin une nette amélioration.

 

 

 

 

ComboFix 08-10-15.01 - DEMARAIS 2008-10-15 22:27:01.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.604 [GMT 2:00]

Lancé depuis: C:\telecharfirefox\ComboFix.exe

Commutateurs utilisés :: C:\telecharfirefox\CFScript.txt

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\Windows\system32\YUR8.exe

C:\Windows\system32\YUR9.exe

C:\Windows\system32\YURA.exe

C:\Windows\system32\YURB.exe

C:\Windows\system32\YURD.exe

E:\WINDOWS\lomxeqsn.exe

E:\WINDOWS\ngwstxfd.dll

E:\WINDOWS\rosqxvmn.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

E:\SDFix

E:\SDFix\apps\clb1.txt

E:\SDFix\apps\Installed.txt

E:\SDFix\apps\leg2.txt

E:\SDFix\apps\legacy.txt

E:\SDFix\apps\legacybk.txt

E:\SDFix\apps\Rem.txt

E:\SDFix\apps\Rem2.txt

E:\SDFix\apps\srv2.txt

E:\SDFix\apps\srv2bk.txt

E:\SDFix\apps\svc.txt

E:\SDFix\apps\svcbk.txt

E:\SDFix\DBFix.bat

E:\SDFix\RunThis.bat

E:\WINDOWS\lomxeqsn.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-15 au 2008-10-15 ))))))))))))))))))))))))))))))))))))

.

 

2008-10-14 21:55 . 2008-10-14 21:55 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\0000005738

2008-10-14 10:22 . 2008-10-14 10:22 <REP> d-------- E:\Documents and Settings\All Users\Application Data\jwbwtsfi

2008-10-14 09:43 . 2008-10-14 09:43 <REP> d-------- E:\rsit

2008-10-14 09:08 . 2008-10-14 09:08 <REP> d-------- E:\Program Files\Malwarebytes' Anti-Malware

2008-10-14 09:08 . 2008-09-10 00:04 38,528 --a------ E:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-14 09:08 . 2008-09-10 00:03 17,200 --a------ E:\WINDOWS\system32\drivers\mbam.sys

2008-10-13 21:57 . 2008-10-15 08:40 3,304 --a------ E:\WINDOWS\system32\tmp.reg

2008-10-13 21:53 . 2008-10-13 22:05 <REP> d-------- E:\Documents and Settings\DEMARAIS\SmitfraudFix

2008-10-13 21:23 . 2008-10-15 10:17 <REP> d-------- E:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2008-10-13 20:58 . 2008-10-13 20:58 <REP> d-------- E:\Program Files\Panda Security

2008-10-13 19:52 . 2008-10-14 09:26 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\sp2

2008-10-13 18:48 . 2008-10-13 18:52 <REP> d-------- E:\WINDOWS\system32\AVGUARD_48fa09da

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d--h----- E:\Documents and Settings\Administrateur\Voisinage réseau

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d--h----- E:\Documents and Settings\Administrateur\Voisinage d'impression

2008-10-13 17:57 . 2008-05-15 02:12 <REP> d--h----- E:\Documents and Settings\Administrateur\Modèles

2008-10-13 17:57 . 2008-10-14 08:27 <REP> d-------- E:\Documents and Settings\Administrateur\Mes documents

2008-10-13 17:57 . 2008-05-14 23:20 <REP> dr------- E:\Documents and Settings\Administrateur\Menu Démarrer

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d-------- E:\Documents and Settings\Administrateur\Favoris

2008-10-13 17:57 . 2008-10-14 08:39 <REP> d-------- E:\Documents and Settings\Administrateur\Bureau

2008-10-13 17:57 . 2008-10-13 17:57 <REP> d-------- E:\Documents and Settings\Administrateur

2008-10-13 17:56 . 2008-10-15 08:37 334 --a------ E:\WINDOWS\system32\drivers\fwdrv.err

2008-10-13 17:33 . 2008-10-13 17:33 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Malwarebytes

2008-10-13 17:33 . 2008-10-13 17:33 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-09 17:59 . 2008-10-10 18:14 <REP> d-------- E:\Program Files\Intuisphere

2008-10-09 17:09 . 2008-10-12 17:13 54,156 --ah----- E:\WINDOWS\QTFont.qfn

2008-10-09 17:09 . 2008-10-09 17:09 1,409 --a------ E:\WINDOWS\QTFont.for

2008-10-09 16:12 . 2008-10-09 16:13 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\DeepBurner

2008-10-08 18:55 . 2008-10-08 18:55 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Acoustica

2008-10-08 14:10 . 2008-10-08 14:10 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Canneverbe_Limited

2008-10-06 18:19 . 2008-10-06 19:18 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Nero

2008-10-04 13:15 . 2008-10-04 13:15 4,767 --a------ E:\WINDOWS\Irremote.ini

2008-10-04 12:36 . 2008-10-04 13:43 <REP> d-------- E:\Program Files\Fichiers communs\Nero

2008-10-04 12:36 . 2008-10-04 13:02 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Nero

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-15 05:51 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\Spamihilator

2008-10-13 14:09 --------- d-----w E:\Documents and Settings\All Users\Application Data\DVD Shrink

2008-10-13 13:12 --------- d---a-w E:\Documents and Settings\All Users\Application Data\TEMP

2008-10-10 06:58 82,944 ----a-w E:\WINDOWS\system32\o4Patch.exe

2008-10-10 06:58 82,944 ----a-w E:\WINDOWS\system32\IEDFix.C.exe

2008-10-07 15:13 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\gtk-2.0

2008-10-06 15:43 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\dvdcss

2008-10-04 11:12 --------- d-----w E:\Program Files\Nero

2008-10-03 12:33 --------- d-----w E:\Program Files\Fichiers communs\Ahead

2008-10-03 12:30 --------- d--h--w E:\Program Files\InstallShield Installation Information

2008-10-03 12:30 --------- d-----w E:\Documents and Settings\All Users\Application Data\Ulead Systems

2008-10-01 13:51 87,552 ----a-w E:\WINDOWS\system32\VACFix.exe

2008-09-13 18:28 --------- d-----w E:\Program Files\Fichiers communs\Adobe

2008-09-13 11:42 --------- d-----w E:\Program Files\Fichiers communs\Macrovision Shared

2008-09-08 21:38 88,576 ----a-w E:\WINDOWS\system32\AntiXPVSTFix.exe

2008-08-18 16:45 --------- d-----w E:\Program Files\Microsoft Silverlight

2008-08-18 10:19 82,432 ----a-w E:\WINDOWS\system32\404Fix.exe

2008-07-18 20:10 94,920 ----a-w E:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w E:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w E:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w E:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w E:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w E:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w E:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w E:\WINDOWS\system32\wuaueng.dll

2008-06-21 07:23 47,360 ----a-w E:\Documents and Settings\DEMARAIS\Application Data\pcouffin.sys

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

E:\WINDOWS\system32\AVGUARD_48fa09da -- Invalid filepath or file no longer exist

 

 

------- Sigcheck -------

 

2006-06-21 00:05 578048 c34920eb988ce98910bd6b0417f334eb E:\WINDOWS\system32\user32.dll

 

2006-06-21 00:22 2059008 5311776074b6c13f983dc75baeac9c0c E:\WINDOWS\system32\ntkrnlpa.exe

 

2006-06-21 00:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a E:\WINDOWS\system32\ntoskrnl.exe

 

2006-05-17 00:39 1036288 76b3d5a12e1008fd656921d3035783f1 E:\WINDOWS\explorer.exe

 

2006-06-21 00:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 E:\WINDOWS\system32\spoolsv.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{93105498-AF47-40B8-A48C-441DFA6C4774}]

E:\WINDOWS\system32\fccaXQkK.dll [bU]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B2ADB537-AFF6-4D72-BA77-DA012A6FDEA6}]

E:\WINDOWS\system32\wvUmlmJD.dll [bU]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

"RoboForm"="C:\Program Files\Siber Systems\RoboTaskBarIcon.exe" [2008-09-11 160592]

"TomTomHOME.exe"="c:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]

"Player"="E:\Documents and Settings\DEMARAIS\Application Data\Adobe\Player.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2005-06-15 6803456]

"NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 86016]

"HPDJ Taskbar Utility"="E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-11-22 188416]

"Spamihilator"="c:\Program Files\Spamihilator\spamihilator.exe" [2008-04-05 1060864]

"SunJavaUpdateSched"="E:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"avgnt"="E:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-01-18 266280]

"nwiz"="nwiz.exe" [2005-06-15 E:\WINDOWS\system32\nwiz.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"NoResolveTrack"= 0 (0x0)

"NoResolveSearch"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMFUprogramsList"= 0 (0x0)

"NoUserNameInStartMenu"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"NoInstrumentation"= 0 (0x0)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

"DisallowCpl"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{B2ADB537-AFF6-4D72-BA77-DA012A6FDEA6}"= "E:\WINDOWS\system32\wvUmlmJD.dll" [bU]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pMDUnLDw]

pMDUnLDw.dll [bU]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= vdrcodec.dll

"vidc.dvsd"= pdvcodec.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.MJPG"= Pvmjpg30.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"AntiVirusOverride"=dword:00000001

"UpdatesDisableNotify"="0x00000000"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R0 avgntmgr;avgntmgr;E:\WINDOWS\system32\drivers\avgntmgr.sys [2005-07-06 14848]

R1 fwdrv;Firewall Driver;E:\WINDOWS\system32\drivers\fwdrv.sys [2005-12-15 274432]

R1 khips;Kerio HIPS Driver;E:\WINDOWS\system32\drivers\khips.sys [2005-12-15 81920]

R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;E:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]

R2 NMSAccessU;NMSAccessU;c:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]

R3 fbxusb;FreeBox USB Network Adapter;E:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 18848]

R3 usbscan;Pilote de scanneur USB;E:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S1 avgntdd;avgntdd;E:\WINDOWS\system32\DRIVERS\avgntdd.sys [2005-08-23 31744]

S3 USBSTOR;Pilote de stockage de masse USB;E:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac439b7a-2384-11dd-9cc8-0007cb0000ff}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-15 22:34:35

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-10-15 22:39:50

ComboFix-quarantined-files.txt 2008-10-15 20:39:18

ComboFix2.txt 2008-10-15 08:40:25

ComboFix3.txt 2008-10-14 20:31:48

 

Avant-CF: 9 771 180 032 octets libres

Après-CF: 9,761,964,032 octets libres

 

199

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

vieuxrusé: juste pour mon information, as tu fait des modifications dans la base de registre ?

 

Le dernier rapport ne montre plus de fichiers infectieux: juste quelques corrections à faire. Effectue stp les manipulations suivantes dans l'ordre >>

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/8ma2go

pour cela, clique sur le lien en bas de page > pointright.gifDownload Link: CFScript

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de vieuxrusé : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

2°) J'aimerai que tu m'expédie un fichier stp >>

  • Fais un clic droit sur le dossier C:\Qoobox
  • Dans la liste qui se déroule, choisis > Envoyer vers > Dossier compressé
  • Un fichier nommé QooBox.zip doit apparaitre dans le même répertoire (C:\)
  • Rend toi ensuite sur cette page > http://www.sendspace.com
  • Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\QooBox.zip
  • Clique maintenant sur "ouvrir" en bas de la fenêtre.
  • Coche la case "I have read and agree to the terms of service."
  • Clique enfin sur le bouton Upload File .
  • Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp :P

Note: Il se peut que le fichier pèse lourd aussi soit patient!

 

Une fois ceci fait, élimine le dossier C:\Qoobox ainsi que le fichier C:\QooBox.zip puis vide la corbeille.

 

3°) Nous allons faire un scan en ligne pour terminer et pour nous assurer que rien ne nous échappe >>

 

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

 

  • Fais un scan en ligne Kaspersky
  • Clique sur Accept
  • Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  • clique une nouvelle fois sur "Accept"
  • Les bases de mises à jour vont s'installer, patiente un moment
  • Clique sur Next.
  • Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

***********

 

Important: Désinstalle Antivir qui ne semble plus fonctionner puis réinstalle le stp >>

 

Télécharge Antivir sur le Bureau.

 

-Installe Antivir.

 

-Met Antivir à jour et configure le en suivant les indications du Tutoriel de tesgaz

 

Dis moi si tu rencontres des problèmes. Conseil: ne télécharge ni n'installe rien avant qu'on ait remis les protections sur ce pc car il est très vulnérable en l'état! Déconnecte le pc lorsque tu ne t'en sert pas.

 

Poste stp le rapport de ComboFix ainsi que le rapport du scan en ligne. Courage, on touche au but :P

Modifié par Thanos
vieuxrusé Member

vieuxrusé

Posté(e)
  • Auteur
Posté(e)

Bonjour Thanos je n'ai pas modifier le registre mais j'ai seulement repris SmitfraudFix.exe avec le choix 2 car jétais certain de mettre planté la première fois, j'avais fait ça en mode sans echec avec prise en charge du réseau. Donc voilà les raisons des modifs.

 

Voilà le rapport 1er Point je continu .

 

ComboFix 08-10-15.01 - DEMARAIS 2008-10-16 8:21:19.4 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.604 [GMT 2:00]

Lancé depuis: C:\telecharfirefox\ComboFix.exe

Commutateurs utilisés :: C:\telecharfirefox\CFScript.txt

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

E:\WINDOWS\system32\404Fix.exe

E:\WINDOWS\system32\AntiXPVSTFix.exe

E:\WINDOWS\system32\fccaXQkK.dll

E:\WINDOWS\system32\IEDFix.C.exe

E:\WINDOWS\system32\o4Patch.exe

E:\WINDOWS\system32\VACFix.exe

E:\WINDOWS\system32\wvUmlmJD.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

E:\Documents and Settings\DEMARAIS\SmitfraudFix

E:\Documents and Settings\DEMARAIS\SmitfraudFix\404Fix.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\AntiXPVSTFix.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\beep_2K_original.sys

E:\Documents and Settings\DEMARAIS\SmitfraudFix\beep_XP_original.sys

E:\Documents and Settings\DEMARAIS\SmitfraudFix\dumphive.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\exit.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\GenericRenosFix.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\HostsChk.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\IEDFix.C.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\IEDFix.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\o4Patch.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\Policies.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\Process.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\Reboot.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\restart.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\SmitfraudFix.cmd

E:\Documents and Settings\DEMARAIS\SmitfraudFix\SmiUpdate.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\SrchSTS.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\swreg.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\swsc.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\swxcacls.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\UIFix.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\unzip.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\VACFix.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\VCCLSID.exe

E:\Documents and Settings\DEMARAIS\SmitfraudFix\WS2Fix.exe

E:\WINDOWS\system32\404Fix.exe

E:\WINDOWS\system32\AntiXPVSTFix.exe

E:\WINDOWS\system32\IEDFix.C.exe

E:\WINDOWS\system32\o4Patch.exe

E:\WINDOWS\system32\VACFix.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-16 au 2008-10-16 ))))))))))))))))))))))))))))))))))))

.

 

2008-10-14 21:55 . 2008-10-14 21:55 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\0000005738

2008-10-14 10:22 . 2008-10-14 10:22 <REP> d-------- E:\Documents and Settings\All Users\Application Data\jwbwtsfi

2008-10-14 09:43 . 2008-10-14 09:43 <REP> d-------- E:\rsit

2008-10-14 09:08 . 2008-10-14 09:08 <REP> d-------- E:\Program Files\Malwarebytes' Anti-Malware

2008-10-14 09:08 . 2008-09-10 00:04 38,528 --a------ E:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-14 09:08 . 2008-09-10 00:03 17,200 --a------ E:\WINDOWS\system32\drivers\mbam.sys

2008-10-13 21:57 . 2008-10-15 08:40 3,304 --a------ E:\WINDOWS\system32\tmp.reg

2008-10-13 21:54 . 2007-09-06 00:22 289,144 --a------ E:\WINDOWS\system32\VCCLSID.exe

2008-10-13 21:54 . 2006-04-27 17:49 288,417 --a------ E:\WINDOWS\system32\SrchSTS.exe

2008-10-13 21:54 . 2008-05-18 21:40 82,944 --a------ E:\WINDOWS\system32\IEDFix.exe

2008-10-13 21:54 . 2003-06-05 21:13 53,248 --a------ E:\WINDOWS\system32\Process.exe

2008-10-13 21:54 . 2004-07-31 18:50 51,200 --a------ E:\WINDOWS\system32\dumphive.exe

2008-10-13 21:54 . 2007-10-04 00:36 25,600 --a------ E:\WINDOWS\system32\WS2Fix.exe

2008-10-13 21:23 . 2008-10-15 10:17 <REP> d-------- E:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2008-10-13 20:58 . 2008-10-13 20:58 <REP> d-------- E:\Program Files\Panda Security

2008-10-13 19:52 . 2008-10-14 09:26 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\sp2

2008-10-13 18:48 . 2008-10-13 18:52 <REP> d-------- E:\WINDOWS\system32\AVGUARD_48fa09da

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d--h----- E:\Documents and Settings\Administrateur\Voisinage réseau

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d--h----- E:\Documents and Settings\Administrateur\Voisinage d'impression

2008-10-13 17:57 . 2008-05-15 02:12 <REP> d--h----- E:\Documents and Settings\Administrateur\Modèles

2008-10-13 17:57 . 2008-10-14 08:27 <REP> d-------- E:\Documents and Settings\Administrateur\Mes documents

2008-10-13 17:57 . 2008-05-14 23:20 <REP> dr------- E:\Documents and Settings\Administrateur\Menu Démarrer

2008-10-13 17:57 . 2008-05-14 23:20 <REP> d-------- E:\Documents and Settings\Administrateur\Favoris

2008-10-13 17:57 . 2008-10-14 08:39 <REP> d-------- E:\Documents and Settings\Administrateur\Bureau

2008-10-13 17:57 . 2008-10-13 17:57 <REP> d-------- E:\Documents and Settings\Administrateur

2008-10-13 17:56 . 2008-10-15 08:37 334 --a------ E:\WINDOWS\system32\drivers\fwdrv.err

2008-10-13 17:33 . 2008-10-13 17:33 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Malwarebytes

2008-10-13 17:33 . 2008-10-13 17:33 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-09 17:59 . 2008-10-10 18:14 <REP> d-------- E:\Program Files\Intuisphere

2008-10-09 17:09 . 2008-10-12 17:13 54,156 --ah----- E:\WINDOWS\QTFont.qfn

2008-10-09 17:09 . 2008-10-09 17:09 1,409 --a------ E:\WINDOWS\QTFont.for

2008-10-09 16:12 . 2008-10-09 16:13 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\DeepBurner

2008-10-08 18:55 . 2008-10-08 18:55 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Acoustica

2008-10-08 14:10 . 2008-10-08 14:10 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Canneverbe_Limited

2008-10-06 18:19 . 2008-10-06 19:18 <REP> d-------- E:\Documents and Settings\DEMARAIS\Application Data\Nero

2008-10-04 13:15 . 2008-10-04 13:15 4,767 --a------ E:\WINDOWS\Irremote.ini

2008-10-04 12:36 . 2008-10-04 13:43 <REP> d-------- E:\Program Files\Fichiers communs\Nero

2008-10-04 12:36 . 2008-10-04 13:02 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Nero

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-15 05:51 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\Spamihilator

2008-10-13 14:09 --------- d-----w E:\Documents and Settings\All Users\Application Data\DVD Shrink

2008-10-13 13:12 --------- d---a-w E:\Documents and Settings\All Users\Application Data\TEMP

2008-10-07 15:13 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\gtk-2.0

2008-10-06 15:43 --------- d-----w E:\Documents and Settings\DEMARAIS\Application Data\dvdcss

2008-10-04 11:12 --------- d-----w E:\Program Files\Nero

2008-10-03 12:33 --------- d-----w E:\Program Files\Fichiers communs\Ahead

2008-10-03 12:30 --------- d--h--w E:\Program Files\InstallShield Installation Information

2008-10-03 12:30 --------- d-----w E:\Documents and Settings\All Users\Application Data\Ulead Systems

2008-09-13 18:28 --------- d-----w E:\Program Files\Fichiers communs\Adobe

2008-09-13 11:42 --------- d-----w E:\Program Files\Fichiers communs\Macrovision Shared

2008-08-18 16:45 --------- d-----w E:\Program Files\Microsoft Silverlight

2008-07-18 20:10 94,920 ----a-w E:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w E:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w E:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w E:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w E:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w E:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w E:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w E:\WINDOWS\system32\wuaueng.dll

2008-06-21 07:23 47,360 ----a-w E:\Documents and Settings\DEMARAIS\Application Data\pcouffin.sys

.

 

------- Sigcheck -------

 

2006-06-21 00:05 578048 c34920eb988ce98910bd6b0417f334eb E:\WINDOWS\system32\user32.dll

 

2006-06-21 00:22 2059008 5311776074b6c13f983dc75baeac9c0c E:\WINDOWS\system32\ntkrnlpa.exe

 

2006-06-21 00:05 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a E:\WINDOWS\system32\ntoskrnl.exe

 

2006-05-17 00:39 1036288 76b3d5a12e1008fd656921d3035783f1 E:\WINDOWS\explorer.exe

 

2006-06-21 00:11 57856 ad3d9d191aea7b5445fe1d82ffbb4788 E:\WINDOWS\system32\spoolsv.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

"RoboForm"="C:\Program Files\Siber Systems\RoboTaskBarIcon.exe" [2008-09-11 160592]

"TomTomHOME.exe"="c:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]

"Player"="E:\Documents and Settings\DEMARAIS\Application Data\Adobe\Player.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2005-06-15 6803456]

"NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 86016]

"HPDJ Taskbar Utility"="E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-11-22 188416]

"Spamihilator"="c:\Program Files\Spamihilator\spamihilator.exe" [2008-04-05 1060864]

"SunJavaUpdateSched"="E:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"avgnt"="E:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-01-18 266280]

"nwiz"="nwiz.exe" [2005-06-15 E:\WINDOWS\system32\nwiz.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"NoResolveTrack"= 0 (0x0)

"NoResolveSearch"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMFUprogramsList"= 0 (0x0)

"NoUserNameInStartMenu"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"NoInstrumentation"= 0 (0x0)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

"DisallowCpl"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= vdrcodec.dll

"vidc.dvsd"= pdvcodec.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.MJPG"= Pvmjpg30.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"AntiVirusOverride"=dword:00000001

"UpdatesDisableNotify"="0x00000000"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

 

R0 avgntmgr;avgntmgr;E:\WINDOWS\system32\drivers\avgntmgr.sys [2005-07-06 14848]

R1 avgntdd;avgntdd;E:\WINDOWS\system32\DRIVERS\avgntdd.sys [2005-08-23 31744]

R1 fwdrv;Firewall Driver;E:\WINDOWS\system32\drivers\fwdrv.sys [2005-12-15 274432]

R1 khips;Kerio HIPS Driver;E:\WINDOWS\system32\drivers\khips.sys [2005-12-15 81920]

R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;E:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]

R2 NMSAccessU;NMSAccessU;c:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]

R3 fbxusb;FreeBox USB Network Adapter;E:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 18848]

R3 usbscan;Pilote de scanneur USB;E:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]

S3 USBSTOR;Pilote de stockage de masse USB;E:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac439b7a-2384-11dd-9cc8-0007cb0000ff}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-16 08:29:24

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-10-16 8:34:34

ComboFix-quarantined-files.txt 2008-10-16 06:34:01

ComboFix2.txt 2008-10-15 20:40:00

ComboFix3.txt 2008-10-15 08:40:25

ComboFix4.txt 2008-10-14 20:31:48

 

Avant-CF: 9 748 180 992 octets libres

Après-CF: 9,735,000,064 octets libres

 

205

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...