pws.ldpinchIE

[ost]

C'est toujours la même galère.

Le programme ne répond pas (j'ai aussi essayé en mode sans échec et toujours rien)

 

Je poste un nouveau hijack si ça peux aider

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:05:28, on 2008-11-15

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\csrcs.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\Logi_MwX.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOCUME~1\BIENVE~1\LOCALS~1\Temp\csrssc.exe

C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

F:\Programes\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

F:\Programes\Malwarebytes' Anti-Malware\mbam.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\net.exe

C:\DOCUME~1\BIENVE~1\LOCALS~1\Temp\Rar$EX05.921\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.facebook.com/home.php?

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: C:\WINDOWS\system32\jsne87fidgf.dll - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programes\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\BIENVE~1\LOCALS~1\Temp\csrssc.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] F:\Programes\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Policies\Explorer\Run: [sidebar] C:\DOCUME~1\BIENVE~1\LOCALS~1\Temp\sidebar.exe

O4 - HKLM\..\Policies\Explorer\Run: [none2] C:\WINDOWS\lsass.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programes\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - F:\Programes\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programes\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programes\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\jeux\New Folder\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\jeux\New Folder\PartyPokerNet\RunPF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://armeelanguedocienne.actifforum.com

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://tm-steph.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 7175 bytes

 

Merci encore!!!

[Falkra]

Oki, on va être plus violent alors.

 

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer (même le navigateur).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[ost]

 

Déjà le tout semble beaucoup mieux!

Lors du redémarrage mes programmes ont correctement effectué leurs mises à jour, et en jetant un rapide regard sur mes résultat de recherche sur google, je ne suis plus redirigé n'importe ou!

 

Je te poste mon log en espérant que n'y trouvera rien d'autre!!!

 

En terminant je te remercie énormément et j'espère que tu continuera longtemps ton bon travail!

 

ComboFix 08-11-13.02 - Bienvenue 2008-11-15 14:14:55.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1642 [GMT -5:00]

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Bienvenue\Application Data\kernel33.dll

c:\program files\Internet Explorer\svchost.exe

c:\windows\hosts

c:\windows\system32\AutoRun.inf

c:\windows\system32\csrcs.exe

c:\windows\system32\DelSelf.bat

c:\windows\system32\drivers\TDSSnlaa.sys

c:\windows\system32\TDSSacyo.dll

c:\windows\system32\TDSSalif.dat

c:\windows\system32\TDSSgoya.log

c:\windows\system32\TDSSkgiq.dll

c:\windows\system32\TDSSkhcu.log

c:\windows\system32\TDSSnmxh.log

c:\windows\system32\TDSSrxhc.dll

c:\windows\system32\TDSSsrfi.dll

c:\windows\system32\TDSSuvwl.dll

c:\windows\system32\TDSSycbv.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_TDSSSERV.SYS

-------\Legacy_TDSSSERV.SYS

-------\Legacy_WINDOWNETPKER

-------\Service_windownetpker

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-15 au 2008-11-15 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-15 13:54 . 2008-11-15 13:54 <REP> d-------- c:\windows\BDOSCAN8

2008-11-15 10:04 . 2008-11-15 10:04 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-15 10:04 . 2008-09-08 00:16 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-15 10:04 . 2008-09-08 00:16 17,200 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-15 00:03 . 2008-11-15 00:06 <REP> d-------- c:\program files\Navilog1

2008-11-11 14:00 . 2008-11-15 14:00 1,393 --a------ c:\windows\imsins.BAK

2008-11-10 20:46 . 2008-11-15 12:58 664 --a------ c:\windows\system32\d3d9caps.dat

2008-11-10 12:09 . 2008-11-10 12:09 <REP> d-------- c:\program files\MSXML 4.0

2008-11-10 11:37 . 2008-11-10 11:48 <REP> d-------- c:\windows\system32\CatRoot_bak

2008-11-10 11:35 . 2008-06-14 12:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2008-11-10 11:35 . 2008-06-14 12:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys

2008-11-10 11:29 . 2004-08-04 07:00 4,224 --a------ c:\windows\system32\drivers\beep.sys

2008-11-10 11:29 . 2004-08-04 07:00 4,224 --a--c--- c:\windows\system32\dllcache\beep.sys

2008-11-10 10:43 . 2008-11-10 10:43 10,000 --a------ c:\windows\system32\jsne87fidgf.dll

2008-11-10 10:43 . 2008-11-10 10:43 2 --a------ C:\-1674784886

2008-11-10 03:24 . 2008-11-10 03:24 <REP> d-------- c:\documents and settings\Bienvenue\Application Data\Oberon Games

2008-11-10 03:24 . 2008-11-10 03:24 <REP> d-------- c:\documents and settings\All Users\Application Data\Oberon Games

2008-11-10 01:12 . 2008-11-10 01:12 <REP> d-------- c:\documents and settings\All Users\Application Data\EscapeTheMuseum

2008-11-10 01:08 . 2008-11-10 01:08 0 -rahs---- C:\khq

2008-11-09 17:27 . 2008-11-09 17:27 <REP> d--hs---- c:\windows\ftpcache

2008-11-09 15:14 . 2008-11-09 15:14 <REP> d-------- c:\documents and settings\All Users\Application Data\MysteryChronicles

2008-11-09 14:43 . 2008-11-09 14:43 <REP> d-------- c:\documents and settings\Bienvenue\Application Data\PlayFirst

2008-11-09 14:43 . 2008-11-09 14:43 <REP> d-------- c:\documents and settings\All Users\Application Data\PlayFirst

2008-11-09 14:42 . 2008-11-10 04:24 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2008-11-04 13:35 . 2008-11-10 11:08 329 --a------ c:\windows\wininit.ini

2008-11-03 18:43 . 2008-11-03 18:43 <REP> d-------- c:\program files\Paint.NET

2008-10-19 16:13 . 2008-11-04 14:39 76,806 --a------ c:\windows\system32\winupd

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-15 19:18 104,135 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_15_14_12_48_small.dmp.zip

2008-11-15 17:59 119,832 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_11_15_12_54_48_small.dmp.zip

2008-11-15 17:55 3,339,776 ----a-w c:\windows\Internet Logs\xDB6.tmp

2008-11-15 17:55 1,145,856 ----a-w c:\windows\Internet Logs\xDB5.tmp

2008-11-15 05:03 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2008-11-15 04:33 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-11-14 23:57 14,995,013 ----a-w c:\windows\Internet Logs\tvDebug.zip

2008-11-11 19:06 3,220,992 ----a-w c:\windows\Internet Logs\xDB4.tmp

2008-11-11 17:21 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-11-10 02:26 --------- d-----w c:\documents and settings\Bienvenue\Application Data\uTorrent

2008-11-04 18:35 --------- d-----w c:\program files\Enigma Software Group

2008-11-02 04:32 --------- d-----w c:\documents and settings\Bienvenue\Application Data\Camfrog

2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-23 17:45 --------- d-----w c:\documents and settings\Bienvenue\Application Data\LimeWire

2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-09-30 21:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys

2008-09-04 16:45 1,106,944 ----a-w c:\windows\system32\msxml3.dll

2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll

2008-08-24 05:02 124,737 ----a-w c:\windows\Internet Logs\vsmon_2nd_2008_08_24_01_00_18_small.dmp.zip

2007-12-12 21:25 1,338,384 ----a-w c:\program files\SympaticoSecurityAdvisor.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

"SpybotSD TeaTimer"="f:\programes\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Zone Labs Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2005-07-17 980752]

"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2003-12-01 892928]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]

"Adobe Reader Speed Launcher"="f:\programes\Reader\Reader_sl.exe" [2008-10-15 39792]

"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 c:\windows\LOGI_MWX.EXE]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-02-15 450560]

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-01-28 784912]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2007-11-15 10:10 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3fhg"= mp3fhg.acm

"VIDC.X264"= x264vfw.dll

"VIDC.HFYU"= huffyuv.dll

"vidc.i263"= i263_32.drv

"msacm.divxa32"= divxa32.acm

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-10-15 01:04 39792 f:\programes\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camfrog]

--a------ 2003-09-29 01:22 36352 f:\programes\Camfrog Video Chat\CamfrogNET.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]

--a------ 2007-09-21 03:10 55824 c:\windows\KHALMNPR.Exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

-r------- 2006-12-18 22:12 16062464 c:\windows\RTHDCPL.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"WLSetupSvc"=3 (0x3)

"windownetpker"=2 (0x2)

"usnjsvc"=3 (0x3)

"MDM"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

"f:\\jeux\\Civilization4.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"f:\\jeux\\bf2\\BF2.exe"=

"f:\\Programes\\uTorrent.exe"=

 

S3 w300bus;Sony Ericsson W300 Driver driver (WDM);c:\windows\system32\DRIVERS\w300bus.sys [2007-12-28 60800]

S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w300mdfl.sys [2007-12-28 9264]

S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w300mdm.sys [2007-12-28 96352]

S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w300mgmt.sys [2007-12-28 87824]

S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w300obex.sys [2007-12-28 85696]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b624a240-2b38-11dd-9dc8-001a92e1e979}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e62c40b8-ebbb-11dc-9d93-001a92e1e979}]

\Shell\AutoRun\command - explorer.exe "http://www.emploiquebec.net/webki"

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EB986EA8-F050-77E2-4B8D-C154BF542FEB}]

c:\windows\system32\winupd.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-11-10 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job

- c:\program files\Spybot - Search & Destroy\SpybotSD.exe []

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{C5BF49A2-94F3-42BD-F434-3604812C897D} - (no file)

HKLM-Explorer_Run-Sidebar - c:\docume~1\BIENVE~1\LOCALS~1\Temp\sidebar.exe

HKLM-Explorer_Run-none2 - c:\windows\lsass.exe

HKLM-Explorer_Run-csrcs - c:\windows\system32\csrcs.exe

 

 

.

------- Examen supplémentaire -------

.

FireFox -: Profile - c:\documents and settings\Bienvenue\Application Data\Mozilla\Firefox\Profiles\j277gm91.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.facebook.com/home.php?

FF -: plugin - f:\programes\Reader\browser\nppdf32.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-15 14:22:04

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Sidebar = c:\docume~1\BIENVE~1\LOCALS~1\Temp\sidebar.exe???0??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????,?????@?????????????(???????????????????????8??

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

PROCESSUS: c:\windows\system32\lsass.exe

-> c:\windows\system32\LIBEAY32_0.9.6l.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.exe

.

**************************************************************************

.

Heure de fin: 2008-11-15 14:25:42 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-15 19:25:40

 

Avant-CF: 80,580,030,464 octets libres

Après-CF: 80,514,883,584 octets libres

 

213 --- E O F --- 2008-11-15 19:00:21

[Falkra]

Oki, tu peux réinstaller (désinstalle d'abord) MBAM, et le remettre en place, mettre à jour et faire le test, on a délogé la bestiole.