Infection Beagle

[battman]

Bonjour à tous,

 

Je me suis choper le beagle sur mon Pc et après un traitement puis un reformatage voilà qu'il réapparait...

Et j'avoue que la situation me dépasse un peu !

 

1: Comment localiser la source du problème ?

2: Comment l'ératiquer ?

3: Comment bien se protéger ?

 

J'ai suivi les conseils des différents sujets sur le problème, rien ne marche, j'arrive même pas à installer les softs !

(comboFix, FindyKill, SmitfraudFix.exe, ...)

 

J'ai fait un scan par Kaspersky en ligne, créer un rapport HijackThis.

Mon antivirus est Avira.

J'effectue en ce moment un scan Spybot pour le fun.

 

Je suis sur window Xp Sp3. Le mode sans échec ne marche pas.

 

Grand merci d'avance.

 

Voici les rapports :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:01:44, on 30/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe

C:\Documents and Settings\FJ\Mes documents\Téléchargements\TrueTransparency\TrueTransparency\TrueTransparency.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WinBar\WinBar.exe

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\FJ\Bureau\HiJackThisperso.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\winfilse.exe

O4 - HKCU\..\Run: [TrueTransparency] "C:\Documents and Settings\FJ\Mes documents\Téléchargements\TrueTransparency\TrueTransparency\TrueTransparency.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: WinBar.lnk = C:\Program Files\WinBar\WinBar.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1224416573828

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1224416635250

O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: Planificateur Avira AntiVir Premium (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 9950 bytes

 

 

---------------------------------------------------------------------------------------------------------------------------------------------------------

 

Friday, October 31, 2008

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, October 30, 2008 17:52:05

Records in database: 1361872

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

Scan statistics

Files scanned 169787

Threat name 6

Infected objects 9

Suspicious objects 0

Duration of the scan 09:39:51

 

File name Threat name Threats count

C:\Documents and Settings\FJ\Bureau\FindyKill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1

C:\Documents and Settings\FJ\Bureau\SmitfraudFix.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1

C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0002a3 Infected: not-a-virus:RiskTool.Win32.Reboot.f 1

C:\Documents and Settings\FJ\Local Settings\Temp\NERO1001376\Toolbar.exe Infected: not-a-virus:WebToolbar.Win32.MyWebSearch.bm 1

C:\Documents and Settings\FJ\Local Settings\Temp\~osB.tmp\osmim.dll Infected: not-a-virus:AdWare.Win32.RK.ae 1

C:\Documents and Settings\FJ\Mes documents\Téléchargements\FindyKill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1

C:\WINDOWS\system32\drivers\winfilse.exe Infected: Trojan-Downloader.Win32.Bagle.aen 1

D:\PROGZ\Nero 8 French Serial Texte.rar Infected: not-a-virus:WebToolbar.Win32.MyWebSearch.bm 1

The selected area was scanned.

 

-----------------------------------------------------------------------------------------------------------------

[pear]

Bonjour,

 

Débérrasez vous de ceci:D:\PROGZ\Nero 8 French Serial Texte.rar Infected: not-a-virus:WebToolbar.Win32.MyWebSearch.bm 1

 

Il faut désinstaller les programmes de désinfection :

Cet outil s'en chargera:

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

color=#800040] Connecter tous les disques amovibles (disque dur externe, clé USB…).

Si vous utilez Combofix pour détruire Bagle, voyez le $ 3 Renommer Combofix

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

 

2)Lancer le scan

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[/color]

 

3) Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Bagle cible tout fichier nommé ComboFix et génère un message d'erreur.

Désinstallez Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

En cas de problème, :

méthode illustrée

[battman]

Tout d'abord merci de votre aide.

 

Voici le rapport de Toolscleaner2 :

 

[ Rapport ToolsCleaner version 2.2.4 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\Documents and Settings\FJ\Bureau\hijackthis.log: trouvé !

C:\Documents and Settings\FJ\Bureau\SmitFraudfix: trouvé !

C:\Documents and Settings\FJ\Bureau\SmitfraudFix\SmitFraudfix: trouvé !

C:\Documents and Settings\FJ\Menu Démarrer\Programmes\FindyKill: trouvé !

C:\Program Files\FindyKill: trouvé !

 

J'ai un soucis avec l'installation de la console de récupération sur SP3, je ne trouve pas de lien.

J'ai à l'origine le CD de windows Sp1, comment faire ?

 

Batt

[battman]

Voici le rapport de combofix, j'ai finalement trouvé pourquoi il ne s'installait pas.

 

ComboFix 08-10-31.02 - FJ 2008-11-01 13:18:59.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.963 [GMT 1:00]

Lancé depuis: C:\Documents and Settings\FJ\Bureau\Combo--Fix.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\WINDOWS\system32\drivers\downld

C:\WINDOWS\system32\drivers\downld\100750.exe

C:\WINDOWS\system32\drivers\downld\102859.exe

C:\WINDOWS\system32\drivers\downld\103515.exe

C:\WINDOWS\system32\drivers\downld\104703.exe

C:\WINDOWS\system32\drivers\downld\105562.exe

C:\WINDOWS\system32\drivers\downld\106484.exe

C:\WINDOWS\system32\drivers\downld\109843.exe

C:\WINDOWS\system32\drivers\downld\110171.exe

C:\WINDOWS\system32\drivers\downld\112859.exe

C:\WINDOWS\system32\drivers\downld\112937.exe

C:\WINDOWS\system32\drivers\downld\114593.exe

C:\WINDOWS\system32\drivers\downld\115140.exe

C:\WINDOWS\system32\drivers\downld\140265.exe

C:\WINDOWS\system32\drivers\downld\14613187.exe

C:\WINDOWS\system32\drivers\downld\14613687.exe

C:\WINDOWS\system32\drivers\downld\14630218.exe

C:\WINDOWS\system32\drivers\downld\14632203.exe

C:\WINDOWS\system32\drivers\downld\14634031.exe

C:\WINDOWS\system32\drivers\downld\146687.exe

C:\WINDOWS\system32\drivers\downld\14692578.exe

C:\WINDOWS\system32\drivers\downld\14698046.exe

C:\WINDOWS\system32\drivers\downld\150140.exe

C:\WINDOWS\system32\drivers\downld\150453.exe

C:\WINDOWS\system32\drivers\downld\152500.exe

C:\WINDOWS\system32\drivers\downld\155500.exe

C:\WINDOWS\system32\drivers\downld\158656.exe

C:\WINDOWS\system32\drivers\downld\160843.exe

C:\WINDOWS\system32\drivers\downld\179750.exe

C:\WINDOWS\system32\drivers\downld\179781.exe

C:\WINDOWS\system32\drivers\downld\185046.exe

C:\WINDOWS\system32\drivers\downld\187468.exe

C:\WINDOWS\system32\drivers\downld\188406.exe

C:\WINDOWS\system32\drivers\downld\199343.exe

C:\WINDOWS\system32\drivers\downld\200031.exe

C:\WINDOWS\system32\drivers\downld\205546.exe

C:\WINDOWS\system32\drivers\downld\228015.exe

C:\WINDOWS\system32\drivers\downld\231765.exe

C:\WINDOWS\system32\drivers\downld\5321343.exe

C:\WINDOWS\system32\drivers\downld\5322171.exe

C:\WINDOWS\system32\drivers\downld\5333687.exe

C:\WINDOWS\system32\drivers\downld\5337671.exe

C:\WINDOWS\system32\drivers\downld\5364453.exe

C:\WINDOWS\system32\drivers\downld\55359.exe

C:\WINDOWS\system32\drivers\downld\55687.exe

C:\WINDOWS\system32\drivers\downld\56281.exe

C:\WINDOWS\system32\drivers\downld\58875.exe

C:\WINDOWS\system32\drivers\downld\59640.exe

C:\WINDOWS\system32\drivers\downld\68671.exe

C:\WINDOWS\system32\drivers\downld\69468.exe

C:\WINDOWS\system32\drivers\downld\69843.exe

C:\WINDOWS\system32\drivers\downld\71328.exe

C:\WINDOWS\system32\drivers\downld\73406.exe

C:\WINDOWS\system32\drivers\downld\73578.exe

C:\WINDOWS\system32\drivers\downld\73687.exe

C:\WINDOWS\system32\drivers\downld\73953.exe

C:\WINDOWS\system32\drivers\downld\74625.exe

C:\WINDOWS\system32\drivers\downld\75062.exe

C:\WINDOWS\system32\drivers\downld\75609.exe

C:\WINDOWS\system32\drivers\downld\75828.exe

C:\WINDOWS\system32\drivers\downld\77593.exe

C:\WINDOWS\system32\drivers\downld\77656.exe

C:\WINDOWS\system32\drivers\downld\81812.exe

C:\WINDOWS\system32\drivers\downld\83765.exe

C:\WINDOWS\system32\drivers\downld\83984.exe

C:\WINDOWS\system32\drivers\downld\84156.exe

C:\WINDOWS\system32\drivers\downld\86171.exe

C:\WINDOWS\system32\drivers\downld\86828.exe

C:\WINDOWS\system32\drivers\downld\87765.exe

C:\WINDOWS\system32\drivers\downld\88984.exe

C:\WINDOWS\system32\drivers\downld\89078.exe

C:\WINDOWS\system32\drivers\downld\92781.exe

C:\WINDOWS\system32\drivers\downld\99343.exe

C:\WINDOWS\system32\drivers\winfilse.exe

K:\nideiect.com

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-01 au 2008-11-01 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-01 11:02 . 2008-11-01 11:07 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-11-01 11:02 . 2008-11-01 11:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-10-30 20:06 . 2008-10-30 20:06 <REP> d-------- C:\WINDOWS\Sun

2008-10-30 20:05 . 2008-10-30 20:05 <REP> d-------- C:\Program Files\Java

2008-10-30 20:05 . 2008-10-30 20:05 410,976 --a------ C:\WINDOWS\system32\deploytk.dll

2008-10-30 20:05 . 2008-10-30 20:05 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-10-26 20:32 . 2008-10-26 20:32 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-10-26 20:32 . 2008-10-26 20:32 <REP> d-------- C:\Documents and Settings\FJ\Application Data\Malwarebytes

2008-10-26 20:32 . 2008-10-26 20:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-26 20:32 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-26 20:32 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-10-26 11:09 . 2008-10-26 11:09 <REP> d-------- C:\coktel

2008-10-26 11:09 . 2008-10-26 11:09 1,507 --a------ C:\WINDOWS\system32\Adiboud'chou.lnk

2008-10-26 10:50 . 2008-10-26 10:50 <REP> d-------- C:\Program Files\Alcohol Soft

2008-10-26 10:46 . 2008-10-26 10:46 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-10-26 10:09 . 2004-03-29 15:23 90,112 --a------ C:\WINDOWS\unvise32.exe

2008-10-26 10:08 . 2008-10-26 10:08 <REP> d-------- C:\Program Files\Coktel

2008-10-25 18:54 . 2008-07-09 04:05 120,568 --------- C:\WINDOWS\system32\pxcpyi64.exe

2008-10-25 18:54 . 2008-07-09 04:05 118,256 --------- C:\WINDOWS\system32\pxinsi64.exe

2008-10-25 17:47 . 2008-10-26 10:12 <REP> d-------- C:\Documents and Settings\FJ\Application Data\AveDesk

2008-10-25 14:09 . 2008-10-25 19:15 471 --a------ C:\WINDOWS\system32\Datei4

2008-10-25 14:09 . 2008-10-25 19:15 471 --a------ C:\WINDOWS\system32\Datei2

2008-10-25 14:09 . 2008-10-25 19:15 470 --a------ C:\WINDOWS\system32\Datei3

2008-10-25 14:09 . 2008-10-25 19:15 470 --a------ C:\WINDOWS\system32\Datei1

2008-10-25 14:09 . 2008-10-25 19:15 469 --a------ C:\WINDOWS\system32\Datei7

2008-10-25 14:09 . 2008-10-25 19:15 469 --a------ C:\WINDOWS\system32\Datei5

2008-10-25 14:09 . 2008-10-25 19:15 468 --a------ C:\WINDOWS\system32\Datei0

2008-10-25 14:09 . 2008-10-25 19:15 467 --a------ C:\WINDOWS\system32\Datei9

2008-10-25 14:09 . 2008-10-25 19:15 467 --a------ C:\WINDOWS\system32\Datei8

2008-10-25 14:09 . 2008-10-25 19:15 467 --a------ C:\WINDOWS\system32\Datei10

2008-10-25 14:09 . 2008-10-25 19:15 465 --a------ C:\WINDOWS\system32\Datei6

2008-10-25 14:08 . 2005-01-19 13:37 1,383,936 --a------ C:\WINDOWS\system32\sewlt.dll

2008-10-25 14:08 . 2002-08-09 16:00 215,040 --a------ C:\WINDOWS\system32\plugm2.dll

2008-10-25 14:04 . 2008-10-25 14:04 <REP> d--h----- C:\WINDOWS\PIF

2008-10-25 14:01 . 2008-10-25 14:01 <REP> d-------- C:\Documents and Settings\FJ\Application Data\Nero

2008-10-25 13:53 . 2008-10-25 13:53 <REP> d-------- C:\Program Files\Syncrosoft

2008-10-25 13:53 . 2005-11-08 19:02 708,608 --a------ C:\WINDOWS\system32\SYNSOACC.dll

2008-10-25 13:53 . 2005-11-08 10:20 147,456 --a------ C:\WINDOWS\system32\SynsoLChk.dll

2008-10-25 13:53 . 2003-07-31 18:28 147,425 --a------ C:\WINDOWS\system32\SYNSOACC-Aide.chm

2008-10-25 13:53 . 2003-05-26 13:29 120,468 --a------ C:\WINDOWS\system32\SYNSOACC-Hilfe.chm

2008-10-25 13:53 . 2003-05-26 13:29 114,279 --a------ C:\WINDOWS\system32\SYNSOACC-Help.chm

2008-10-25 13:53 . 2005-11-03 16:14 45,056 --a------ C:\WINDOWS\system32\Synsopos.exe

2008-10-25 13:53 . 2005-11-03 11:17 16,896 --a------ C:\WINDOWS\system32\drivers\synasUSB.sys

2008-10-25 11:57 . 2008-10-25 11:57 <REP> d-------- C:\Program Files\FreeLaunchBar

2008-10-24 20:19 . 2008-10-30 19:48 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-10-24 17:52 . 2008-10-24 17:52 <REP> d-------- C:\Documents and Settings\FJ\Application Data\Avira

2008-10-24 17:48 . 2008-10-24 17:48 <REP> d-------- C:\Documents and Settings\FJ\Application Data\DivX

2008-10-24 15:52 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll

2008-10-23 18:07 . 2008-10-19 13:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2008-10-23 18:07 . 2008-10-19 13:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-10-23 18:07 . 2008-10-19 12:24 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles

2008-10-23 18:07 . 2008-10-19 13:10 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-10-23 18:07 . 2008-10-19 13:10 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2008-10-23 18:07 . 2008-10-19 13:10 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-10-23 18:07 . 2008-10-19 13:10 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-10-23 18:07 . 2008-10-23 18:07 <REP> d-------- C:\Documents and Settings\Administrateur

2008-10-22 20:10 . 2008-10-22 20:10 <REP> d-------- C:\Program Files\Avira

2008-10-22 18:23 . 2008-10-22 18:23 <REP> d-------- C:\Program Files\VirtualDJ

2008-10-21 18:59 . 2008-10-22 20:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-10-21 18:47 . 2008-10-21 18:47 <REP> d-------- C:\Program Files\FLAC

2008-10-21 18:46 . 2008-10-21 18:46 <REP> d-------- C:\Program Files\AC3Filter

2008-10-21 18:46 . 2008-07-09 09:05 421,888 --a------ C:\WINDOWS\system32\ac3filter.acm

2008-10-21 18:44 . 2008-10-21 18:44 <REP> d-------- C:\Program Files\KC Softwares

2008-10-21 18:19 . 2008-11-01 12:28 <REP> d-------- C:\Program Files\eMule

2008-10-21 18:06 . 2008-10-21 18:08 <REP> d-------- C:\Program Files\WhereIsIt

2008-10-21 18:04 . 2008-04-13 19:45 26,368 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-10-21 17:55 . 2008-04-13 19:47 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-10-21 17:55 . 2008-04-13 19:47 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys

2008-10-21 17:54 . 2002-09-05 06:00 87,552 --a------ C:\WINDOWS\system32\CNMLM4b.DLL

2008-10-21 17:54 . 2002-07-29 18:59 73,728 -ra------ C:\WINDOWS\system32\CNMCP4b.exe

2008-10-21 17:54 . 2002-09-05 06:00 5,632 --a------ C:\WINDOWS\system32\CNMVS4b.DLL

2008-10-21 17:53 . 2008-10-27 23:03 <REP> d--h----- C:\BJPrinter

2008-10-19 19:54 . 2008-10-19 19:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

2008-10-19 19:53 . 2008-10-19 19:53 4,958,588 --a------ C:\WINDOWS\{00000002-00000000-0000000A-00001102-00000008-40021102}.CDF

2008-10-19 19:52 . 2008-10-31 07:46 11,564 --a------ C:\WINDOWS\system32\DVCState-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

2008-10-19 19:52 . 2008-10-31 07:46 924 --a------ C:\WINDOWS\system32\BMXCtrlState-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

2008-10-19 19:52 . 2008-10-31 07:46 924 --a------ C:\WINDOWS\system32\BMXBkpCtrlState-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

2008-10-19 19:52 . 2008-10-31 07:46 64 --a------ C:\WINDOWS\system32\BMXStateBkp-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

2008-10-19 19:52 . 2008-10-31 07:46 64 --a------ C:\WINDOWS\system32\BMXState-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

2008-10-19 19:49 . 2008-10-19 19:49 <REP> d-------- C:\Program Files\Fichiers communs\Control Panels

2008-10-19 19:46 . 2008-10-19 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ALM

2008-10-19 19:40 . 2008-10-19 19:40 <REP> d-------- C:\Program Files\QuickTime

2008-10-19 19:33 . 2007-02-20 15:04 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll

2008-10-19 19:33 . 2007-02-20 15:04 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe

2008-10-19 19:26 . 2008-10-19 19:26 <REP> d-------- C:\Program Files\Bonjour

2008-10-19 19:21 . 2008-10-19 19:21 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared

2008-10-19 19:19 . 2008-10-19 19:51 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2008-10-19 19:05 . 2008-11-01 13:12 <REP> d-------- C:\Program Files\Steinberg

2008-10-19 19:05 . 2008-10-19 19:52 <REP> d-------- C:\Documents and Settings\FJ\Application Data\EmuPatchMixDSP

2008-10-19 18:53 . 2008-04-14 03:33 219,648 --a------ C:\WINDOWS\system32\uxtheme.uxtender

2008-10-19 18:46 . 2008-10-19 18:46 <REP> d-------- C:\Program Files\MSXML 4.0

2008-10-19 18:30 . 2008-10-19 18:30 <REP> d-------- C:\Program Files\PowerISO

2008-10-19 18:28 . 2008-10-03 18:12 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2008-10-19 18:28 . 2007-04-17 10:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-10-19 18:28 . 2007-03-08 06:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-10-19 18:28 . 2008-08-26 09:11 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2008-10-19 18:28 . 2008-08-26 09:11 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2008-10-19 18:28 . 2008-08-26 09:11 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2008-10-19 18:28 . 2008-08-26 09:11 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2008-10-19 18:28 . 2008-08-26 09:11 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2008-10-19 18:28 . 2008-08-25 09:38 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-10-19 18:22 . 2008-10-19 18:22 <REP> d-------- C:\Program Files\VSO

2008-10-19 18:22 . 2008-11-01 13:22 <REP> d-------- C:\Program Files\SuperCopier2

2008-10-19 18:21 . 2008-10-19 18:44 <REP> d-------- C:\Program Files\Unlocker

2008-10-19 18:18 . 2008-10-19 18:19 <REP> d-------- C:\Program Files\iColorFolder

2008-10-19 18:17 . 2008-10-19 18:17 <REP> d-------- C:\Program Files\ThumbView_Lite 1.0

2008-10-19 18:15 . 2008-10-19 18:16 164 --a------ C:\WINDOWS\CDPLAYER.UNI

2008-10-19 18:14 . 2008-10-19 18:14 <REP> d-------- C:\WINDOWS\Easy CD-DA Extractor 11.6

2008-10-19 18:14 . 2008-10-19 18:14 <REP> d-------- C:\Program Files\Easy CD-DA Extractor 11

2008-10-19 18:14 . 2008-10-19 18:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP

2008-10-19 18:12 . 2008-10-19 18:12 <REP> d-------- C:\Program Files\Nero

2008-10-19 18:12 . 2008-10-19 18:12 <REP> d-------- C:\Program Files\Fichiers communs\Nero

2008-10-19 18:12 . 2008-10-19 18:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero

2008-10-19 18:03 . 2008-06-14 18:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

2008-10-19 18:02 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-10-19 18:02 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe

2008-10-19 18:02 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-10-19 18:02 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe

2008-10-19 18:02 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys

2008-10-19 18:02 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys

2008-10-19 18:01 . 2008-05-08 15:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys

2008-10-19 18:00 . 2008-04-11 20:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-10-19 18:00 . 2008-05-01 15:36 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

2008-10-19 17:53 . 2008-10-19 18:28 <REP> d-------- C:\WINDOWS\system32\fr-fr

2008-10-19 17:53 . 2008-10-19 17:53 <REP> d-------- C:\WINDOWS\system32\fr

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-25 13:05 2,855 ----a-w C:\WINDOWS\PIF\Install.PIF

2008-10-19 17:53 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll

2008-10-19 15:32 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-10-19 11:39 --------- d-----w C:\Program Files\Marvell

2008-10-19 11:31 --------- d-----w C:\Program Files\microsoft frontpage

2008-10-19 11:29 558,142 ----a-w C:\WINDOWS\java\Packages\EENDN13T.ZIP

2008-10-19 11:29 155,995 ----a-w C:\WINDOWS\java\Packages\KAJ7BDNF.ZIP

2008-10-19 11:24 --------- d-----w C:\Program Files\Services en ligne

2008-09-16 00:14 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-09-16 00:14 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-09-16 00:12 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-09-16 00:12 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2008-09-16 00:12 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2008-09-16 00:12 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll

2008-09-16 00:12 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll

2008-09-16 00:12 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-09-16 00:12 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll

2008-09-16 00:12 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-09-16 00:11 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll

2008-09-16 00:11 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll

2008-09-16 00:11 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll

2008-09-16 00:11 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll

2008-09-16 00:11 683,520 ----a-w C:\WINDOWS\system32\DivX.dll

2008-09-16 00:11 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2008-09-16 00:11 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys

2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys

2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Google Update"="C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-10-19 133104]

"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

"TrueTransparency"="C:\Documents and Settings\FJ\Mes documents\Téléchargements\TrueTransparency\TrueTransparency\TrueTransparency.exe" [2008-06-24 372224]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 220544]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

"SetDefaultMIDI"="MIDIDef.exe" [2008-03-20 C:\WINDOWS\system32\MIDIDEF.EXE]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 86016]

"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]

"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]

"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]

"PWRISOVM.EXE"="C:\Program Files\PowerISO\PWRISOVM.EXE" [2008-07-07 167936]

"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]

"Adobe_ID0EYTHM"="C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-08-04 36352]

"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2008-10-30 144792]

"SpybotSnD"="C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" [2008-07-07 4891472]

"Malwarebytes' Anti-Malware"="C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" [2008-10-22 399504]

"nwiz"="nwiz.exe" [2008-05-03 C:\WINDOWS\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2004-02-26 C:\WINDOWS\SOUNDMAN.EXE]

"CTHelper"="CTHELPER.EXE" [2008-03-20 C:\WINDOWS\system32\CtHelper.exe]

"CTxfiHlp"="CTXFIHLP.EXE" [2008-03-20 C:\WINDOWS\system32\Ctxfihlp.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

 

C:\Documents and Settings\FJ\Menu D‚marrer\Programmes\D‚marrage\

WinBar.lnk - C:\Program Files\WinBar\WinBar.exe [2008-10-19 188928]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-22 734872]

Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-10-19 295606]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.fvfw"= ffvfw.dll

"msacm.avis"= ffvfw.dll

"msacm.ac3filter"= ac3filter.acm

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

 

R0 iteraid;ITERAID_Service_Install;C:\WINDOWS\system32\DRIVERS\iteraid.sys [2003-06-10 24539]

R2 MBAMService;MBAMService;C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [2008-10-22 170640]

R3 COMMONFX.SYS;COMMONFX.SYS;C:\WINDOWS\system32\drivers\COMMONFX.SYS [2008-03-20 98328]

R3 MBAMProtector;MBAMProtector;C:\WINDOWS\system32\drivers\mbam.sys [2008-10-22 15504]

S2 AntiVirMailService;Avira AntiVir Premium MailGuard;C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-07-11 164097]

S2 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-06-12 258305]

S3 COMMONFX;COMMONFX;C:\WINDOWS\system32\drivers\COMMONFX.SYS [2008-03-20 98328]

S3 CT20XUT.SYS;CT20XUT.SYS;C:\WINDOWS\system32\drivers\CT20XUT.SYS [2008-03-20 171032]

S3 CT20XUT;CT20XUT;C:\WINDOWS\system32\drivers\CT20XUT.SYS [2008-03-20 171032]

S3 CTAUDFX.SYS;CTAUDFX.SYS;C:\WINDOWS\system32\drivers\CTAUDFX.SYS [2008-03-20 528920]

S3 CTAUDFX;CTAUDFX;C:\WINDOWS\system32\drivers\CTAUDFX.SYS [2008-03-20 528920]

S3 CTEAPSFX.SYS;CTEAPSFX.SYS;C:\WINDOWS\system32\drivers\CTEAPSFX.SYS [2008-03-20 163352]

S3 CTEAPSFX;CTEAPSFX;C:\WINDOWS\system32\drivers\CTEAPSFX.SYS [2008-03-20 163352]

S3 CTEDSPFX.SYS;CTEDSPFX.SYS;C:\WINDOWS\system32\drivers\CTEDSPFX.SYS [2008-03-20 259096]

S3 CTEDSPFX;CTEDSPFX;C:\WINDOWS\system32\drivers\CTEDSPFX.SYS [2008-03-20 259096]

S3 CTEDSPIO.SYS;CTEDSPIO.SYS;C:\WINDOWS\system32\drivers\CTEDSPIO.SYS [2008-03-20 134168]

S3 CTEDSPIO;CTEDSPIO;C:\WINDOWS\system32\drivers\CTEDSPIO.SYS [2008-03-20 134168]

S3 CTEDSPSY.SYS;CTEDSPSY.SYS;C:\WINDOWS\system32\drivers\CTEDSPSY.SYS [2008-03-20 309784]

S3 CTEDSPSY;CTEDSPSY;C:\WINDOWS\system32\drivers\CTEDSPSY.SYS [2008-03-20 309784]

S3 CTERFXFX.SYS;CTERFXFX.SYS;C:\WINDOWS\system32\drivers\CTERFXFX.SYS [2008-03-20 99352]

S3 CTERFXFX;CTERFXFX;C:\WINDOWS\system32\drivers\CTERFXFX.SYS [2008-03-20 99352]

S3 CTEXFIFX.SYS;CTEXFIFX.SYS;C:\WINDOWS\system32\drivers\CTEXFIFX.SYS [2008-03-20 1324056]

S3 CTEXFIFX;CTEXFIFX;C:\WINDOWS\system32\drivers\CTEXFIFX.SYS [2008-03-20 1324056]

S3 CTHWIUT.SYS;CTHWIUT.SYS;C:\WINDOWS\system32\drivers\CTHWIUT.SYS [2008-03-20 72728]

S3 CTHWIUT;CTHWIUT;C:\WINDOWS\system32\drivers\CTHWIUT.SYS [2008-03-20 72728]

S3 CTSBLFX.SYS;CTSBLFX.SYS;C:\WINDOWS\system32\drivers\CTSBLFX.SYS [2008-03-20 534040]

S3 CTSBLFX;CTSBLFX;C:\WINDOWS\system32\drivers\CTSBLFX.SYS [2008-03-20 534040]

S4 AVEService;Service d'assistance Avira AntiVir Premium MailGuard;C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-05-09 41217]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\AutoRun\command - H:\autorun\autorun.exe

 

*Newly Created Service* - MBAMPROTECTOR

*Newly Created Service* - MBAMSERVICE

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Tâches planifiées'

 

2008-11-01 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job

- C:\Documents and Settings\FJ\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-10-19 16:36]

 

2008-11-01 C:\WINDOWS\Tasks\Malwarebytes' Scheduled Update for FJ.job

- C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2008-10-22 16:10]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-SuperCopier2.exe - C:\Program Files\SuperCopier2\SuperCopier2.exe

 

 

.

------- Examen supplémentaire -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/

R1 -: HKCU-Internet Settings,ProxyOverride = *.local

O8 -: Ajouter au fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 -: Convertir en Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 -: Convertir la cible du lien en Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 -: Convertir la cible du lien en un fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 -: Convertir la sélection en Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 -: Convertir la sélection en un fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 -: Convertir les liens sélectionnés en fichier Adobe PDF - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 -: Convertir les liens sélectionnés en un fichier PDF existant - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

 

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

 

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-01 13:22:50

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2008-11-01 13:37:28

ComboFix-quarantined-files.txt 2008-11-01 12:37:24

 

Avant-CF: 142 568 841 216 octets libres

Après-CF: 142,313,418,752 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

 

384 --- E O F --- 2008-10-24 17:20:21

[pear]

Bonjour,

 

 

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

Killall::

 

File::

C:\WINDOWS\{00000002-00000000-0000000A-00001102-00000008-40021102}.CDF

C:\WINDOWS\system32\DVCState-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

C:\WINDOWS\system32\BMXCtrlState-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

C:\WINDOWS\system32\BMXStateBkp-{00000002-00000000-0000000A-00001102-00000008-40021102}.rfx

C:\WINDOWS\java\Packages\EENDN13T.ZIP

C:\WINDOWS\java\Packages\KAJ7BDNF.ZIP

registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Téléchargez Dr.Web CureIt sur le Bureau:

Imprimez ces instructions car , vous allez lancer le mode sans échec qui ne permet la connexion internet.

 

Redémarrez en mode sans échec.

Pour cela:

* Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.

* Sélectionnez "Mode sans échec" et validez].

* Choisir votre compte usuel,.

 

* Double cliquez drweb-cureit.exe puis sur Analyse ;

* Cliquez Ok à l'invite de l'analyse rapide.

Ce scan analyse les processus chargés en mémoire ;

Si des processus infectés sont trouvés, cliquez sur Oui pour tout".

une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"

* Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;

* Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"

* De retour à la fenêtre principale : cliquez pour activer Analyse complète;

* Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.

* A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.

* Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiersdétectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif

* puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable

* Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv

* Sauvegardez le rapport sur le Bureau.

* Fermez Dr.Web Cureit

* Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.

* Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.

Modifié le 1 novembre 2008 par pear

[battman]

Bonjour,

 

Après quelques jours en déplacement, je suis à nouveau sur le Pc.

J'ai laissé tourné le scan de DrWeb cette nuit, RAS, de même pour Combofix.

 

Encore merci pour votre aide, je vais faire attention.

 

Batt