Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Problème d'infection, je ne sais pas par où commencer à l'aide


 Share

Messages recommandés

Mon ordinateur est lent et j'ai eu antivirus 2009 que je crois avoir supprimer. J'ai toujours un redirect de mes pages web. Est-ce que quelqu'un est en mesure de m'aider, merci beaucoup

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir.

 

Télécharge HijackThisV2 sur ton bureau.

  • Double-clique sur HJTInstall.exe et suis les instructions d'installation.
    --> Sous VISTA: désactiver l'UAC comme indiqué ICI , faire un clic droit/exécuter en temps qu'administrateur
  • Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  • Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  • A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  • Poste le rapport généré sur le forum.

 

 

+++

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir.

 

Télécharge HijackThisV2 sur ton bureau.

  • Double-clique sur HJTInstall.exe et suis les instructions d'installation.
    --> Sous VISTA: désactiver l'UAC comme indiqué ICI , faire un clic droit/exécuter en temps qu'administrateur
  • Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  • Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  • A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  • Poste le rapport généré sur le forum.

 

 

+++

 

 

Voici le rapport effectuer en mode sans echec

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:00:09, on 2008-11-17

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {6E785A53-AC5A-4F6A-A6E4-1B51FA4A0A09} - (no file)

O2 - BHO: (no name) - {7D30AEA3-0A72-5745-06C7-C56935381066} - (no file)

O2 - BHO: (no name) - {A08305FC-0152-A857-B2A5-E0522C8D68BC} - (no file)

O2 - BHO: (no name) - {bbdf77ed-d067-4c0a-b50a-7367d123e192} - C:\WINDOWS\System32\wadavuro.dll

O2 - BHO: (no name) - {E1E717E6-C26D-18A0-19B4-D5382B0C5D6F} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe -boot

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [RunOnce2Upd] "C:\WINDOWS\System32\svchost.exe"

O4 - HKLM\..\Run: [Antivirus Pro 2009] "C:\Program Files\AntivirusPro2009\AntivirusPro2009.exe" /hide

O4 - HKLM\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s

O4 - HKLM\..\Run: [CPM679c3253] Rundll32.exe "c:\windows\system32\foleleza.dll",a

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil9e.exe

O4 - HKUS\S-1-5-18\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878581502

O16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate...opAntiVirus.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878570476

O16 - DPF: {6F750203-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.ca/downloads/BUM/B..._2/axofupld.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registrefoncier.gouv.qc.ca/Sirf...iveCGM/Acgm.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{290E63B3-F140-4638-A476-95C249ECF706}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{55B00265-FE8B-4107-815E-6EA5D1431654}: NameServer = 85.255.114.46 85.255.112.210

O17 - HKLM\System\CCS\Services\Tcpip\..\{65CE5EBE-E646-4158-9827-39D5D83E9E58}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F032269-A0BA-43D6-8995-2B9FE63BEE09}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3DDC1D2-1AAC-4145-B560-FE4B5122FF82}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D915B6-D730-4BCD-B8C7-9247AA3BE0E6}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O20 - AppInit_DLLs: C:\WINDOWS\System32\zosusewa.dll c:\windows\system32\foleleza.dll

O21 - SSODL: kopnvqat - {E7E56DCB-C32D-4229-8F4C-1B54B7D4ED39} - C:\WINDOWS\kopnvqat.dll (file missing)

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\foleleza.dll

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\foleleza.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: DHCPHOSTS - Unknown owner - c:\windows\system32\dllcache\win32\csrss.exe (file missing)

O23 - Service: DHCPMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: gnrzbcklsctb (lhnkpnwe5) - Unknown owner - C:\WINDOWS\System32\zldyakgl5.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Symantec PIF Service (pifService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

--

End of file - 7795 bytes

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

Je vais te demander de bien vouloir utiliser le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" stp, ceci afin de ne pas citer chaque fois le post précédent, ce sera plus clair. Merci. :P

 

apu-5-hm057e6bh3h67c4d4b965l93.jpg

 

Pourquoi faire le log Hijackthis en mode sans échec?

 

Tu as gagné le gros lot car ton pc est infecté jusqu'à la moëlle; on va attaquer avec l'outil qui convient à cet envahissement.

 

Désactive le résident de ton antivirus pendant la procédure qui suit;

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Voici le log, en passant j'ai effectuer hijackthis en mode sans echeck car il ne demarre pas en mode normal, merci de ton aide !

 

ComboFix 08-11-17.01 - 2008-11-18 7:40:45.3 - FAT32x86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.291 [GMT -5:00]

Lancé depuis: c:\documents and settings\Tommy\Bureau\ComboFix.exe

.

Les fichiers ci-dessous ont été désactivés pendant l'exécution:

c:\windows\System32\zosusewa.dll

c:\windows\system32\gejekoyu.dll

 

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\olomuvik.ini

c:\windows\system32\ulajatiz.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-18 au 2008-11-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-18 07:45 . 2008-11-18 07:46 1,468,660 ---hs---- c:\windows\system32\olomuvik.ini

2008-11-17 20:32 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe

2008-11-17 20:32 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe

2008-11-17 20:32 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe

2008-11-17 20:32 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe

2008-11-17 20:32 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe

2008-11-17 20:32 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe

2008-11-17 20:32 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe

2008-11-17 20:32 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe

2008-11-17 20:32 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe

2008-11-17 20:32 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe

2008-11-17 18:53 . 2008-11-17 18:53 <REP> d-------- c:\program files\Trend Micro

2008-11-17 18:47 . 2008-11-17 18:47 <REP> d--hs---- C:\FOUND.003

2008-11-15 09:24 . 2008-11-15 09:24 <REP> d--hs---- C:\FOUND.002

2008-11-15 09:16 . 2007-07-30 19:19 271,224 --a------ c:\windows\system32\mucltui.dll

2008-11-15 09:16 . 2007-07-30 19:18 30,072 --a------ c:\windows\system32\mucltui.dll.mui

2008-11-15 09:15 . 2007-07-30 19:19 38,232 --a------ c:\windows\system32\wucltui.dll.mui

2008-11-15 09:15 . 2007-07-30 19:20 30,040 --a------ c:\windows\system32\wuaucpl.cpl.mui

2008-11-15 09:15 . 2007-07-30 19:19 30,040 --a------ c:\windows\system32\wuapi.dll.mui

2008-11-15 09:15 . 2007-07-30 19:18 21,336 --a------ c:\windows\system32\wuaueng.dll.mui

2008-11-15 08:59 . 2008-11-15 08:59 575,488 --a------ c:\windows\system32\dllcache\user32.dll

2008-11-15 08:58 . 2008-11-15 08:58 <REP> d-------- c:\windows\ERUNT

2008-11-15 08:55 . 2008-11-06 02:03 <REP> d-------- C:\SDFix

2008-11-15 08:41 . 2008-11-15 08:41 <REP> d-------- c:\documents and settings\Administrateur\Menu Démarrer

2008-11-15 08:41 . 2008-11-15 08:41 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2008-11-15 08:30 . 2008-11-17 07:54 2,508 --a------ c:\windows\system32\tmp.reg

2008-11-15 00:42 . 2008-11-15 00:42 120 ---hs---- c:\windows\system32\mljwyhpf.ini

2008-11-14 18:36 . 2008-11-14 18:37 120 ---hs---- c:\windows\system32\uoknxmor.ini

2008-11-14 18:03 . 2003-08-19 11:40 <REP> d-------- c:\documents and settings\Administrateur\Modèles

2008-11-14 18:03 . 2003-08-19 11:40 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2008-11-14 18:03 . 2008-11-14 18:03 <REP> d---s---- c:\documents and settings\Administrateur

2008-11-14 18:02 . 2008-11-14 18:02 <REP> d--hs---- C:\FOUND.001

2008-11-14 17:56 . 2008-11-14 17:56 2,241 --a------ c:\windows\system32\iiffGWNd.dll

2008-11-14 17:52 . 2008-11-14 17:52 527 --a------ c:\windows\system32\TDSSosvd.dat

2008-11-14 17:51 . 2008-11-14 16:56 376,832 --a------ c:\windows\vbernwafxmk.dll

2008-11-14 17:51 . 2008-11-14 16:56 217,088 --a------ c:\windows\lxeqgwpa.dll

2008-11-14 17:51 . 2008-11-14 16:56 135,168 --a------ c:\windows\faxtsbpv.exe

2008-11-14 07:22 . 2008-11-14 07:22 <REP> d-------- c:\documents and settings\All Users\Application Data\PCPitstop

2008-11-14 07:21 . 2008-11-14 07:21 <REP> d-------- c:\program files\PCPitstop

2008-11-13 19:25 . 2008-11-13 19:25 <REP> d--hs---- C:\FOUND.000

2008-11-13 19:10 . 2008-11-13 19:10 45,056 --a------ C:\win32upd.exe

2008-11-13 17:58 . 2008-11-13 17:58 <REP> d-------- c:\program files\TomTom HOME 2

2008-11-13 17:58 . 2008-11-13 17:58 <REP> d-------- c:\documents and settings\Real Cangley\Application Data\TomTom

2008-11-08 07:43 . 2008-11-08 07:43 65,680 --ah----- c:\windows\MEMORY.DMP

2008-10-23 17:48 . 2002-01-19 17:10 597,834 --a------ c:\windows\system32\AS-IFce1.ocx

2008-10-23 17:48 . 2004-04-08 11:27 279,392 --a------ c:\windows\system32\XceedFtp.dll

2008-10-23 17:48 . 2001-07-28 13:50 265,753 --a------ c:\windows\system32\AS-Exp2.ocx

2008-10-23 17:48 . 2000-12-06 00:00 109,248 --a------ c:\windows\system32\MSWINSCK.OCX

2008-10-23 17:47 . 2008-10-23 17:47 <REP> d-------- c:\program files\RelevantKnowledge

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-18 12:12 90,164 ----a-w c:\windows\system32\gejekoyu.dll.vir

2008-11-18 12:12 86,068 --sha-w c:\windows\system32\kivumolo.dll

2008-11-17 23:32 90,164 --sha-w c:\windows\system32\foleleza.dll

2008-11-17 23:32 86,068 --sha-w c:\windows\system32\zitajalu.dll

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox2.idx

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox2.dat

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-10-09 22:59 --------- d-----w c:\documents and settings\All Users\Application Data\Apowersoft

2008-10-09 22:58 --------- d-----w c:\program files\Apowersoft

2008-10-09 22:58 --------- d-----w c:\documents and settings\All Users\Application Data\Tiger Install

2008-06-27 18:14 152,016 ----a-w c:\documents and settings\Tommy\Application Data\GDIPFONTCACHEV1.DAT

2006-06-16 21:17 152,016 ----a-w c:\documents and settings\Tommy\Application Data\GDIPFONTCACHEV1.DAT

2005-02-07 00:59 0 --sha-w c:\windows\wigjg.dat

2005-02-01 14:35 0 --sha-w c:\windows\skchw.dat

2005-02-03 13:18 0 --sha-w c:\windows\koqdw.dat

2005-01-15 22:02 0 --sha-w c:\windows\imtnv.dll

2005-02-03 19:32 0 --sha-w c:\windows\tkrmh.dat

2005-01-21 11:07 0 --sha-w c:\windows\nlydm.dll

2005-01-09 13:06 0 --sha-w c:\windows\system32\hnxps.dat

2005-01-15 18:29 0 --sha-w c:\windows\system32\lawdb.dll

2005-01-14 11:19 0 --sha-w c:\windows\system32\laefc.dll

2005-02-10 12:20 0 --sha-w c:\windows\system32\rqkgt.dll

2005-01-19 01:46 0 --sha-w c:\windows\system32\rkhoj.dll

2008-08-17 23:27 60,928 --sha-w c:\windows\system32\lawariko.dll

2008-08-17 23:27 60,928 --sha-w c:\windows\system32\wadavuro.dll

2005-02-01 14:35 0 --sha-w c:\windows\system32\fikpk.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bbdf77ed-d067-4c0a-b50a-7367d123e192}]

2008-08-17 18:27 60928 --ahs---- c:\windows\System32\wadavuro.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"FlashPlayerUpdate"="c:\windows\System32\Macromed\Flash\FlashUtil9e.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-07-11 413696]

"64af01cf"="c:\windows\System32\kivumolo.dll" [2008-11-18 86068]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Uniblue Registry Booster"="c:\program files\Uniblue\Registry Booster\RegistryBooster.exe" [2006-12-06 1392640]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-03 110592]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "c:\progra~1\Qualcomm\Eudora\EuShlExt.dll" [2001-04-12 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=c:\windows\System32\zosusewa.dll

"LoadAppInit_DLLs"=1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= ctwdm32.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli c:\windows\System32\zosusewa.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"PCSuiteTrayApplication"=c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusDisableNotify"="0x00000000"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

R0 Defrag32b;Defrag32Boot;c:\windows\System32\drivers\Defrag32b.sys [2004-02-11 54432]

S2 Defrag32;Defrag32;c:\windows\System32\drivers\Defrag32.sys [2004-02-11 54432]

S2 DHCPHOSTS;DHCPHOSTS;c:\windows\system32\dllcache\win32\csrss.exe []

S2 DHCPMGR;DHCPMGR;c:\windows\system32\dllcache\win32\winlogon.exe []

S2 lhnkpnwe5;gnrzbcklsctb;c:\windows\System32\zldyakgl5.exe []

S2 PDSched;PDScheduler;c:\program files\Raxco\PerfectDisk\PDSched.exe [2004-02-11 200771]

S2 pifService;Symantec PIF Service;"c:\program files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h cltCommon []

S3 eghocxta;eghocxta;c:\windows\System32\drivers\eghocxta.sys []

S3 ham50;Intel V92 HaM Data Fax Voice;c:\windows\System32\DRIVERS\IntelH51.sys [2004-10-15 454815]

S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;c:\windows\System32\svchost.exe -k netsvcs [2001-08-28 12800]

S4 hpt3xx;hpt3xx; []

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{6E785A53-AC5A-4F6A-A6E4-1B51FA4A0A09} - (no file)

BHO-{7D30AEA3-0A72-5745-06C7-C56935381066} - (no file)

BHO-{A08305FC-0152-A857-B2A5-E0522C8D68BC} - (no file)

BHO-{E1E717E6-C26D-18A0-19B4-D5382B0C5D6F} - (no file)

HKLM-Run-CPM679c3253 - c:\windows\system32\gejekoyu.dll

HKLM-Run-RelevantKnowledge - c:\program files\relevantknowledge\rlvknlg.exe

SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\gejekoyu.dll

SSODL-kopnvqat-{E7E56DCB-C32D-4229-8F4C-1B54B7D4ED39} - c:\windows\kopnvqat.dll

SSODL-SSODL-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\gejekoyu.dll

 

 

.

------- Examen supplémentaire -------

.

FireFox -: Profile - c:\documents and settings\Tommy\Application Data\Mozilla\Firefox\Profiles\46tefx7h.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ebay.ca/

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-18 07:45:42

Windows 5.1.2600 Service Pack 1 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0\AVP.EXE

c:\windows\SYSTEM32\RUNDLL32.EXE

c:\program files\FICHIERS COMMUNS\AHEAD\LIB\NMINDEXSTORESVR.EXE

c:\program files\FICHIERS COMMUNS\LIGHTSCRIBE\LSSRVC.EXE

c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

c:\windows\SYSTEM32\WDFMGR.EXE

c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

.

**************************************************************************

.

Heure de fin: 2008-11-18 7:58:07 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-18 12:57:38

ComboFix3.txt 2008-11-15 13:50:32

ComboFix2.txt 2008-11-15 14:28:22

 

Avant-CF: 2 863 104 000 octets libres

Après-CF: 2,363,080,704 octets libres

 

winxpsp1_fr_pro_bf.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect"

 

200

Lien vers le commentaire
Partager sur d’autres sites

Ce script a été rédigé spécialement pour cet utilisateur; ne pas l'utiliser sur une autre machine: dangereux!

 

1. Fermez tous les navigateurs ouverts.

 

2. Fermez/désactivez tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

 

3. Ouvrez le Bloc-notes et faites un copier/coller du texte situé dans la boîte Citation ci-dessous dans le Bloc-notes:

 

File::

 

tdssosvd.dat

 

Enregistrez le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe

 

 

CFScriptB-4.gif

 

Comme sur l'image ci-dessus, faites glisser CFScript puis déposez-le sur ComboFix.exe

 

Lorsque l'outil aura terminé, il vous affichera un rapport nommé C:\ComboFix.txt que vous devez m'envoyer dans votre prochain message.

Lien vers le commentaire
Partager sur d’autres sites

Voici le log obtenu en mode sans echec avec prise en charge du réseau. Est-ce que je commence à récuperer du mieux un peu?

 

ComboFix 08-11-18.02 - Tommy 2008-11-18 18:28:46.4 - FAT32x86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.294 [GMT -5:00]

Lancé depuis: c:\documents and settings\Tommy\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Tommy\Bureau\CFScript.txt

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\olomuvik.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-18 au 2008-11-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-18 08:03 . 2008-11-18 08:03 <REP> d--hs---- C:\FOUND.004

2008-11-17 20:32 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe

2008-11-17 20:32 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe

2008-11-17 20:32 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe

2008-11-17 20:32 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe

2008-11-17 20:32 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe

2008-11-17 20:32 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe

2008-11-17 20:32 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe

2008-11-17 20:32 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe

2008-11-17 20:32 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe

2008-11-17 20:32 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe

2008-11-17 18:53 . 2008-11-17 18:53 <REP> d-------- c:\program files\Trend Micro

2008-11-17 18:47 . 2008-11-17 18:47 <REP> d--hs---- C:\FOUND.003

2008-11-15 09:24 . 2008-11-15 09:24 <REP> d--hs---- C:\FOUND.002

2008-11-15 09:16 . 2007-07-30 19:19 271,224 --a------ c:\windows\system32\mucltui.dll

2008-11-15 09:16 . 2007-07-30 19:18 30,072 --a------ c:\windows\system32\mucltui.dll.mui

2008-11-15 09:15 . 2007-07-30 19:19 38,232 --a------ c:\windows\system32\wucltui.dll.mui

2008-11-15 09:15 . 2007-07-30 19:20 30,040 --a------ c:\windows\system32\wuaucpl.cpl.mui

2008-11-15 09:15 . 2007-07-30 19:19 30,040 --a------ c:\windows\system32\wuapi.dll.mui

2008-11-15 09:15 . 2007-07-30 19:18 21,336 --a------ c:\windows\system32\wuaueng.dll.mui

2008-11-15 08:59 . 2008-11-15 08:59 575,488 --a------ c:\windows\system32\dllcache\user32.dll

2008-11-15 08:58 . 2008-11-15 08:58 <REP> d-------- c:\windows\ERUNT

2008-11-15 08:55 . 2008-11-06 02:03 <REP> d-------- C:\SDFix

2008-11-15 08:41 . 2008-11-15 08:41 <REP> d-------- c:\documents and settings\Administrateur\Menu Démarrer

2008-11-15 08:41 . 2008-11-15 08:41 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2008-11-15 08:30 . 2008-11-17 07:54 2,508 --a------ c:\windows\system32\tmp.reg

2008-11-15 00:42 . 2008-11-15 00:42 120 ---hs---- c:\windows\system32\mljwyhpf.ini

2008-11-14 18:36 . 2008-11-14 18:37 120 ---hs---- c:\windows\system32\uoknxmor.ini

2008-11-14 18:03 . 2003-08-19 11:40 <REP> d-------- c:\documents and settings\Administrateur\Modèles

2008-11-14 18:03 . 2003-08-19 11:40 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2008-11-14 18:03 . 2008-11-14 18:03 <REP> d---s---- c:\documents and settings\Administrateur

2008-11-14 18:02 . 2008-11-14 18:02 <REP> d--hs---- C:\FOUND.001

2008-11-14 17:56 . 2008-11-14 17:56 2,241 --a------ c:\windows\system32\iiffGWNd.dll

2008-11-14 17:52 . 2008-11-14 17:52 527 --a------ c:\windows\system32\TDSSosvd.dat

2008-11-14 17:51 . 2008-11-14 16:56 376,832 --a------ c:\windows\vbernwafxmk.dll

2008-11-14 17:51 . 2008-11-14 16:56 217,088 --a------ c:\windows\lxeqgwpa.dll

2008-11-14 17:51 . 2008-11-14 16:56 135,168 --a------ c:\windows\faxtsbpv.exe

2008-11-14 07:22 . 2008-11-14 07:22 <REP> d-------- c:\documents and settings\All Users\Application Data\PCPitstop

2008-11-14 07:21 . 2008-11-14 07:21 <REP> d-------- c:\program files\PCPitstop

2008-11-13 19:25 . 2008-11-13 19:25 <REP> d--hs---- C:\FOUND.000

2008-11-13 19:10 . 2008-11-13 19:10 45,056 --a------ C:\win32upd.exe

2008-11-13 17:58 . 2008-11-13 17:58 <REP> d-------- c:\program files\TomTom HOME 2

2008-11-13 17:58 . 2008-11-13 17:58 <REP> d-------- c:\documents and settings\Tommy\Application Data\TomTom

2008-11-08 07:43 . 2008-11-08 07:43 65,680 --ah----- c:\windows\MEMORY.DMP

2008-10-23 17:48 . 2002-01-19 17:10 597,834 --a------ c:\windows\system32\AS-IFce1.ocx

2008-10-23 17:48 . 2004-04-08 11:27 279,392 --a------ c:\windows\system32\XceedFtp.dll

2008-10-23 17:48 . 2001-07-28 13:50 265,753 --a------ c:\windows\system32\AS-Exp2.ocx

2008-10-23 17:48 . 2000-12-06 00:00 109,248 --a------ c:\windows\system32\MSWINSCK.OCX

2008-10-23 17:47 . 2008-10-23 17:47 <REP> d-------- c:\program files\RelevantKnowledge

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-18 12:12 90,164 ----a-w c:\windows\system32\gejekoyu.dll.vir

2008-11-18 12:12 86,068 --sha-w c:\windows\system32\kivumolo.dll

2008-11-17 23:32 90,164 --sha-w c:\windows\system32\foleleza.dll

2008-11-17 23:32 86,068 --sha-w c:\windows\system32\zitajalu.dll

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox2.idx

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox2.dat

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-11-17 12:53 32 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-10-09 22:59 --------- d-----w c:\documents and settings\All Users\Application Data\Apowersoft

2008-10-09 22:58 --------- d-----w c:\program files\Apowersoft

2008-10-09 22:58 --------- d-----w c:\documents and settings\All Users\Application Data\Tiger Install

2008-06-27 18:14 152,016 ----a-w c:\documents and settings\Tommy\Application Data\GDIPFONTCACHEV1.DAT

2006-06-16 21:17 152,016 ----a-w c:\documents and settings\Tommy\Application Data\GDIPFONTCACHEV1.DAT

2005-02-07 00:59 0 --sha-w c:\windows\wigjg.dat

2005-02-01 14:35 0 --sha-w c:\windows\skchw.dat

2005-02-03 13:18 0 --sha-w c:\windows\koqdw.dat

2005-01-15 22:02 0 --sha-w c:\windows\imtnv.dll

2005-02-03 19:32 0 --sha-w c:\windows\tkrmh.dat

2005-01-21 11:07 0 --sha-w c:\windows\nlydm.dll

2005-01-09 13:06 0 --sha-w c:\windows\system32\hnxps.dat

2005-01-15 18:29 0 --sha-w c:\windows\system32\lawdb.dll

2005-01-14 11:19 0 --sha-w c:\windows\system32\laefc.dll

2005-02-10 12:20 0 --sha-w c:\windows\system32\rqkgt.dll

2005-01-19 01:46 0 --sha-w c:\windows\system32\rkhoj.dll

2008-08-17 23:27 60,928 --sha-w c:\windows\system32\lawariko.dll

2008-08-17 23:27 60,928 --sha-w c:\windows\system32\wadavuro.dll

2005-02-01 14:35 0 --sha-w c:\windows\system32\fikpk.dll

.

 

((((((((((((((((((((((((((((( [email protected]_ 7.54.32.07 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-11-18 12:25:16 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2008-11-18 12:44:46 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2008-11-18 12:25:16 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2008-11-18 12:44:46 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bbdf77ed-d067-4c0a-b50a-7367d123e192}]

2008-08-17 18:27 60928 --ahs---- c:\windows\System32\wadavuro.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"FlashPlayerUpdate"="c:\windows\System32\Macromed\Flash\FlashUtil9e.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-07-11 413696]

"64af01cf"="c:\windows\System32\kivumolo.dll" [2008-11-18 86068]

"CPM679c3253"="c:\windows\system32\gejekoyu.dll" [bU]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Uniblue Registry Booster"="c:\program files\Uniblue\Registry Booster\RegistryBooster.exe" [2006-12-06 1392640]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-03 110592]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "c:\progra~1\Qualcomm\Eudora\EuShlExt.dll" [2001-04-12 77824]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"kopnvqat"= {E7E56DCB-C32D-4229-8F4C-1B54B7D4ED39} - c:\windows\kopnvqat.dll [bU]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= ctwdm32.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"PCSuiteTrayApplication"=c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusDisableNotify"="0x00000000"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

R0 Defrag32b;Defrag32Boot;c:\windows\System32\drivers\Defrag32b.sys [2004-02-11 54432]

S2 Defrag32;Defrag32;c:\windows\System32\drivers\Defrag32.sys [2004-02-11 54432]

S2 DHCPHOSTS;DHCPHOSTS;c:\windows\system32\dllcache\win32\csrss.exe []

S2 DHCPMGR;DHCPMGR;c:\windows\system32\dllcache\win32\winlogon.exe []

S2 lhnkpnwe5;gnrzbcklsctb;c:\windows\System32\zldyakgl5.exe []

S2 PDSched;PDScheduler;c:\program files\Raxco\PerfectDisk\PDSched.exe [2004-02-11 200771]

S2 pifService;Symantec PIF Service;"c:\program files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h cltCommon []

S3 eghocxta;eghocxta;c:\windows\System32\drivers\eghocxta.sys []

S3 ham50;Intel V92 HaM Data Fax Voice;c:\windows\System32\DRIVERS\IntelH51.sys [2004-10-15 454815]

S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;c:\windows\System32\svchost.exe -k netsvcs [2001-08-28 12800]

S4 hpt3xx;hpt3xx; []

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{6E785A53-AC5A-4F6A-A6E4-1B51FA4A0A09} - (no file)

BHO-{7D30AEA3-0A72-5745-06C7-C56935381066} - (no file)

BHO-{A08305FC-0152-A857-B2A5-E0522C8D68BC} - (no file)

BHO-{E1E717E6-C26D-18A0-19B4-D5382B0C5D6F} - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-18 18:33:38

Windows 5.1.2600 Service Pack 1 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

PROCESSUS: c:\windows\system32\winlogon.exe

-> c:\windows\System32\tsd32.dll

.

Heure de fin: 2008-11-18 18:35:27 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-18 23:35:24

ComboFix4.txt 2008-11-15 13:50:32

ComboFix3.txt 2008-11-15 14:28:22

ComboFix2.txt 2008-11-18 12:58:22

 

Avant-CF: 2 882 617 344 octets libres

Après-CF: 2,878,963,712 octets libres

 

177

 

Merci de votre aide, je l'apprécie !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Je ne sais pas ce qui se passe au niveau des serveurs OVH, mais je ne reçois pas les notifications par email ou alors avec des heures de retard! Pour ton post, je ne l'ai pas encore eue!

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

@+ tard.

Lien vers le commentaire
Partager sur d’autres sites

Je suis toujours en mode sans échec avec prise encharge réseau, SVP me le dire si je dois être en mode normal, merci beaucoup. Est-ce que ça va mieux?

 

 

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1411

Windows 5.1.2600 Service Pack 1

 

2008-11-19 18:53:00

mbam-log-2008-11-19 (18-53-00).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 96603

Temps écoulé: 52 minute(s), 13 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 11

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 27

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\Interface\{00ada225-ea6c-4fb3-82e8-68189201ccb9} (Adware.Winad) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427} (Trojan.Clicker) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{b74e7976-a1c4-4ab6-9498-69044fa47d51} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{f08bbbc8-97df-452c-b3cd-6b3875ea58b3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{50836dd5-9d60-4fb2-9661-36a012223f1a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{17ce2aeb-1b1a-451d-b4ac-91a28d13acd3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{b158c44d-62a9-40ce-8b5e-2c645a5467f3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{c632409e-4855-4f72-944c-8d07e427c1c1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{e3d4cd71-f054-429e-9705-f28cba6720e3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\lxeqgwpa.bsxw (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\lxeqgwpa.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm679c3253 (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\64af01cf (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\kopnvqat (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\RelevantKnowledge (Spyware.Marketscore) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\win32upd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1117\A0395170.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1117\A0396170.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1118\A0397171.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1118\A0398170.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1118\A0398171.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1118\A0398174.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1118\A0398175.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0399174.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0399175.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0400174.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0400175.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0400180.dll (Trojan.Zlob) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0401181.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0401184.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0401192.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0401194.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0401263.dll (Rogue.AntivirusPro2009) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1119\A0401285.dll (Rogue.AntivirusPro2009) -> Quarantined and deleted successfully.

C:\Program Files\RelevantKnowledge\rlservice.exe (Spyware.Marketscore) -> Quarantined and deleted successfully.

C:\Program Files\RelevantKnowledge\rloci.bin (Spyware.Marketscore) -> Quarantined and deleted successfully.

C:\Program Files\RelevantKnowledge\sporder.dll (Spyware.Marketscore) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\kivumolo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\iiffGWNd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\lxeqgwpa.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\faxtsbpv.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\vbernwafxmk.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

HIJACKTHIS

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:00:09, on 2008-11-17

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {6E785A53-AC5A-4F6A-A6E4-1B51FA4A0A09} - (no file)

O2 - BHO: (no name) - {7D30AEA3-0A72-5745-06C7-C56935381066} - (no file)

O2 - BHO: (no name) - {A08305FC-0152-A857-B2A5-E0522C8D68BC} - (no file)

O2 - BHO: (no name) - {bbdf77ed-d067-4c0a-b50a-7367d123e192} - C:\WINDOWS\System32\wadavuro.dll

O2 - BHO: (no name) - {E1E717E6-C26D-18A0-19B4-D5382B0C5D6F} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RelevantKnowledge] C:\program files\relevantknowledge\rlvknlg.exe -boot

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [RunOnce2Upd] "C:\WINDOWS\System32\svchost.exe"

O4 - HKLM\..\Run: [Antivirus Pro 2009] "C:\Program Files\AntivirusPro2009\AntivirusPro2009.exe" /hide

O4 - HKLM\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s

O4 - HKLM\..\Run: [CPM679c3253] Rundll32.exe "c:\windows\system32\foleleza.dll",a

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil9e.exe

O4 - HKUS\S-1-5-18\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878581502

O16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate...opAntiVirus.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878570476

O16 - DPF: {6F750203-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.ca/downloads/BUM/B..._2/axofupld.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registrefoncier.gouv.qc.ca/Sirf...iveCGM/Acgm.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{290E63B3-F140-4638-A476-95C249ECF706}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{55B00265-FE8B-4107-815E-6EA5D1431654}: NameServer = 85.255.114.46 85.255.112.210

O17 - HKLM\System\CCS\Services\Tcpip\..\{65CE5EBE-E646-4158-9827-39D5D83E9E58}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F032269-A0BA-43D6-8995-2B9FE63BEE09}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3DDC1D2-1AAC-4145-B560-FE4B5122FF82}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D915B6-D730-4BCD-B8C7-9247AA3BE0E6}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O20 - AppInit_DLLs: C:\WINDOWS\System32\zosusewa.dll c:\windows\system32\foleleza.dll

O21 - SSODL: kopnvqat - {E7E56DCB-C32D-4229-8F4C-1B54B7D4ED39} - C:\WINDOWS\kopnvqat.dll (file missing)

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\foleleza.dll

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\foleleza.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: DHCPHOSTS - Unknown owner - c:\windows\system32\dllcache\win32\csrss.exe (file missing)

O23 - Service: DHCPMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: gnrzbcklsctb (lhnkpnwe5) - Unknown owner - C:\WINDOWS\System32\zldyakgl5.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Symantec PIF Service (pifService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

--

End of file - 7795 bytes

Lien vers le commentaire
Partager sur d’autres sites

Voilà entre temps, j'ai été effectué les opérations depuis le premier post c'est à dire un hijackthis, un Combofix, un Mawarebytes et un hijackthis en mode normal. Je te post ça les uns à la suite des autres, merci de ton aide.

 

HIJACKTHIS

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:11:25, on 2008-11-19

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\internet explorer\iexplore.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {6E785A53-AC5A-4F6A-A6E4-1B51FA4A0A09} - (no file)

O2 - BHO: (no name) - {7D30AEA3-0A72-5745-06C7-C56935381066} - (no file)

O2 - BHO: (no name) - {A08305FC-0152-A857-B2A5-E0522C8D68BC} - (no file)

O2 - BHO: (no name) - {bbdf77ed-d067-4c0a-b50a-7367d123e192} - C:\WINDOWS\System32\wadavuro.dll

O2 - BHO: (no name) - {E1E717E6-C26D-18A0-19B4-D5382B0C5D6F} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s

O4 - HKLM\..\Run: [64af01cf] rundll32.exe "C:\WINDOWS\System32\hafurive.dll",b

O4 - HKLM\..\Run: [CPM679c3253] Rundll32.exe "C:\WINDOWS\System32\defarewo.dll",a

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil9e.exe

O4 - HKUS\S-1-5-19\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878581502

O16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate...opAntiVirus.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878570476

O16 - DPF: {6F750203-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.ca/downloads/BUM/B..._2/axofupld.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registrefoncier.gouv.qc.ca/Sirf...iveCGM/Acgm.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{290E63B3-F140-4638-A476-95C249ECF706}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{55B00265-FE8B-4107-815E-6EA5D1431654}: NameServer = 85.255.114.46 85.255.112.210

O17 - HKLM\System\CCS\Services\Tcpip\..\{65CE5EBE-E646-4158-9827-39D5D83E9E58}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F032269-A0BA-43D6-8995-2B9FE63BEE09}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3DDC1D2-1AAC-4145-B560-FE4B5122FF82}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D915B6-D730-4BCD-B8C7-9247AA3BE0E6}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O20 - AppInit_DLLs: C:\WINDOWS\System32\zosusewa.dll c:\windows\system32\defarewo.dll

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\defarewo.dll

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\defarewo.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: DHCPHOSTS - Unknown owner - c:\windows\system32\dllcache\win32\csrss.exe (file missing)

O23 - Service: DHCPMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: gnrzbcklsctb (lhnkpnwe5) - Unknown owner - C:\WINDOWS\System32\zldyakgl5.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Symantec PIF Service (pifService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

--

End of file - 8908 bytes

 

 

COMBOFIX

 

ComboFix 08-11-18.02 - Tommy 2008-11-19 19:33:46.5 - FAT32x86

Lancé depuis: c:\documents and settings\Tommy\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\evirufah.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-20 au 2008-11-20 ))))))))))))))))))))))))))))))))))))

.

 

2008-11-19 07:50 . 2008-11-19 07:50 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-11-19 07:50 . 2008-11-19 07:50 <REP> d-------- c:\documents and settings\Tommy\Application Data\Malwarebytes

2008-11-19 07:50 . 2008-11-19 07:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-19 07:50 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-19 07:50 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-18 08:03 . 2008-11-18 08:03 <REP> d--hs---- C:\FOUND.004

2008-11-17 20:32 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe

2008-11-17 20:32 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe

2008-11-17 20:32 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe

2008-11-17 20:32 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe

2008-11-17 20:32 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe

2008-11-17 20:32 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe

2008-11-17 20:32 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe

2008-11-17 20:32 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe

2008-11-17 20:32 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe

2008-11-17 20:32 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe

2008-11-17 18:53 . 2008-11-17 18:53 <REP> d-------- c:\program files\Trend Micro

2008-11-17 18:47 . 2008-11-17 18:47 <REP> d--hs---- C:\FOUND.003

2008-11-15 09:24 . 2008-11-15 09:24 <REP> d--hs---- C:\FOUND.002

2008-11-15 09:16 . 2007-07-30 19:19 271,224 --a------ c:\windows\system32\mucltui.dll

2008-11-15 09:16 . 2007-07-30 19:18 30,072 --a------ c:\windows\system32\mucltui.dll.mui

2008-11-15 09:15 . 2007-07-30 19:19 38,232 --a------ c:\windows\system32\wucltui.dll.mui

2008-11-15 09:15 . 2007-07-30 19:20 30,040 --a------ c:\windows\system32\wuaucpl.cpl.mui

2008-11-15 09:15 . 2007-07-30 19:19 30,040 --a------ c:\windows\system32\wuapi.dll.mui

2008-11-15 09:15 . 2007-07-30 19:18 21,336 --a------ c:\windows\system32\wuaueng.dll.mui

2008-11-15 08:59 . 2008-11-15 08:59 575,488 --a------ c:\windows\system32\dllcache\user32.dll

2008-11-15 08:58 . 2008-11-15 08:58 <REP> d-------- c:\windows\ERUNT

2008-11-15 08:55 . 2008-11-06 02:03 <REP> d-------- C:\SDFix

2008-11-15 08:41 . 2008-11-15 08:41 <REP> d-------- c:\documents and settings\Administrateur\Menu Démarrer

2008-11-15 08:41 . 2008-11-15 08:41 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2008-11-15 08:30 . 2008-11-17 07:54 2,508 --a------ c:\windows\system32\tmp.reg

2008-11-15 00:42 . 2008-11-15 00:42 120 ---hs---- c:\windows\system32\mljwyhpf.ini

2008-11-14 18:36 . 2008-11-14 18:37 120 ---hs---- c:\windows\system32\uoknxmor.ini

2008-11-14 18:03 . 2003-08-19 11:40 <REP> d-------- c:\documents and settings\Administrateur\Modèles

2008-11-14 18:03 . 2003-08-19 11:40 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2008-11-14 18:03 . 2008-11-14 18:03 <REP> d---s---- c:\documents and settings\Administrateur

2008-11-14 18:02 . 2008-11-14 18:02 <REP> d--hs---- C:\FOUND.001

2008-11-14 17:52 . 2008-11-14 17:52 527 --a------ c:\windows\system32\TDSSosvd.dat

2008-11-14 07:22 . 2008-11-14 07:22 <REP> d-------- c:\documents and settings\All Users\Application Data\PCPitstop

2008-11-14 07:21 . 2008-11-14 07:21 <REP> d-------- c:\program files\PCPitstop

2008-11-13 19:25 . 2008-11-13 19:25 <REP> d--hs---- C:\FOUND.000

2008-11-13 17:58 . 2008-11-13 17:58 <REP> d-------- c:\program files\TomTom HOME 2

2008-11-13 17:58 . 2008-11-13 17:58 <REP> d-------- c:\documents and settings\Tommy\Application Data\TomTom

2008-11-08 07:43 . 2008-11-08 07:43 65,680 --ah----- c:\windows\MEMORY.DMP

2008-10-23 17:48 . 2002-01-19 17:10 597,834 --a------ c:\windows\system32\AS-IFce1.ocx

2008-10-23 17:48 . 2004-04-08 11:27 279,392 --a------ c:\windows\system32\XceedFtp.dll

2008-10-23 17:48 . 2001-07-28 13:50 265,753 --a------ c:\windows\system32\AS-Exp2.ocx

2008-10-23 17:48 . 2000-12-06 00:00 109,248 --a------ c:\windows\system32\MSWINSCK.OCX

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-20 00:47 32 --sha-w c:\windows\system32\drivers\fidbox2.idx

2008-11-20 00:47 32 --sha-w c:\windows\system32\drivers\fidbox2.dat

2008-11-20 00:47 32 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-11-20 00:47 32 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-11-20 00:02 90,164 ----a-w c:\windows\system32\defarewo.dll.vir

2008-11-20 00:02 86,068 --sha-w c:\windows\system32\hafurive.dll

2008-11-18 12:12 90,164 ----a-w c:\windows\system32\gejekoyu.dll.vir

2008-11-17 23:32 90,164 --sha-w c:\windows\system32\foleleza.dll

2008-11-17 23:32 86,068 --sha-w c:\windows\system32\zitajalu.dll

2008-10-09 22:59 --------- d-----w c:\documents and settings\All Users\Application Data\Apowersoft

2008-10-09 22:58 --------- d-----w c:\program files\Apowersoft

2008-10-09 22:58 --------- d-----w c:\documents and settings\All Users\Application Data\Tiger Install

2008-06-27 18:14 152,016 ----a-w c:\documents and settings\Tommy\Application Data\GDIPFONTCACHEV1.DAT

2006-06-16 21:17 152,016 ----a-w c:\documents and settings\Tommy\Application Data\GDIPFONTCACHEV1.DAT

2005-02-07 00:59 0 --sha-w c:\windows\wigjg.dat

2005-02-01 14:35 0 --sha-w c:\windows\skchw.dat

2005-02-03 13:18 0 --sha-w c:\windows\koqdw.dat

2005-01-15 22:02 0 --sha-w c:\windows\imtnv.dll

2005-02-03 19:32 0 --sha-w c:\windows\tkrmh.dat

2005-01-21 11:07 0 --sha-w c:\windows\nlydm.dll

2005-01-09 13:06 0 --sha-w c:\windows\system32\hnxps.dat

2005-01-15 18:29 0 --sha-w c:\windows\system32\lawdb.dll

2005-01-14 11:19 0 --sha-w c:\windows\system32\laefc.dll

2005-02-10 12:20 0 --sha-w c:\windows\system32\rqkgt.dll

2005-01-19 01:46 0 --sha-w c:\windows\system32\rkhoj.dll

2008-08-17 23:27 60,928 --sha-w c:\windows\system32\lawariko.dll

2008-08-17 23:27 60,928 --sha-w c:\windows\system32\wadavuro.dll

2005-02-01 14:35 0 --sha-w c:\windows\system32\fikpk.dll

.

 

((((((((((((((((((((((((((((( [email protected]_ 7.54.32.07 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-11-18 12:25:16 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2008-11-20 00:00:56 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2008-11-18 12:25:16 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2008-11-20 00:00:56 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2008-11-20 00:02:18 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bbdf77ed-d067-4c0a-b50a-7367d123e192}]

2008-08-17 18:27 60928 --ahs---- c:\windows\System32\wadavuro.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]

"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"FlashPlayerUpdate"="c:\windows\System32\Macromed\Flash\FlashUtil9e.exe" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-07-11 413696]

"64af01cf"="c:\windows\System32\hafurive.dll" [2008-11-19 86068]

"CPM679c3253"="c:\windows\System32\defarewo.dll" [bU]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-01-29 200768]

"rotezuniga"="c:\windows\System32\lawariko.dll" [2008-08-17 60928]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Uniblue Registry Booster"="c:\program files\Uniblue\Registry Booster\RegistryBooster.exe" [2006-12-06 1392640]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-03 110592]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "c:\progra~1\Qualcomm\Eudora\EuShlExt.dll" [2001-04-12 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=c:\windows\System32\zosusewa.dll

"LoadAppInit_DLLs"=1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= ctwdm32.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli c:\windows\System32\zosusewa.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"PCSuiteTrayApplication"=c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusDisableNotify"="0x00000000"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{6E785A53-AC5A-4F6A-A6E4-1B51FA4A0A09} - (no file)

BHO-{7D30AEA3-0A72-5745-06C7-C56935381066} - (no file)

BHO-{A08305FC-0152-A857-B2A5-E0522C8D68BC} - (no file)

BHO-{E1E717E6-C26D-18A0-19B4-D5382B0C5D6F} - (no file)

 

 

.

------- Examen supplémentaire -------

.

FireFox -: Profile - c:\documents and settings\Tommy\Application Data\Mozilla\Firefox\Profiles\46tefx7h.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ebay.ca/

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-19 19:50:18

Windows 5.1.2600 Service Pack 1 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\SYSTEM32\RUNDLL32.EXE

c:\program files\FICHIERS COMMUNS\LIGHTSCRIBE\LSSRVC.EXE

c:\program files\FICHIERS COMMUNS\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

c:\program files\FICHIERS COMMUNS\AHEAD\LIB\NMINDEXSTORESVR.EXE

c:\windows\SYSTEM32\WDFMGR.EXE

c:\program files\RAXCO\PERFECTDISK\PDSCHED.EXE

c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

.

**************************************************************************

.

Heure de fin: 2008-11-19 19:56:35 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-11-20 00:56:08

ComboFix4.txt 2008-11-15 14:28:22

ComboFix3.txt 2008-11-18 12:58:22

ComboFix5.txt 2008-11-20 00:31:38

ComboFix2.txt 2008-11-18 23:35:30

 

Avant-CF: 1 813 217 280 octets libres

Après-CF: 1,798,914,048 octets libres

 

185

 

MALWAREBYTES

 

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1412

Windows 5.1.2600 Service Pack 1

 

2008-11-19 21:41:04

mbam-log-2008-11-19 (21-41-04).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 96500

Temps écoulé: 1 hour(s), 28 minute(s), 30 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\WINDOWS\system32\hafurive.dll (Trojan.Vundo.H) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427} (Trojan.Clicker) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\64af01cf (Trojan.Vundo.H) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\hafurive.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\evirufah.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{1A108621-84BB-4BE4-89E6-2DC91B9A9894}\RP1123\A0413761.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

 

HIJACKTHIS

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:46:59, on 2008-11-19

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {bbdf77ed-d067-4c0a-b50a-7367d123e192} - C:\WINDOWS\System32\wadavuro.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil9e.exe

O4 - HKUS\S-1-5-19\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [rotezuniga] Rundll32.exe "C:\WINDOWS\System32\lawariko.dll",s (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [uniblue Registry Booster] C:\Program Files\Uniblue\Registry Booster\RegistryBooster.exe /S (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O15 - Trusted Zone: *.finefind.nettraffic2cash.biz

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878581502

O16 - DPF: {6824D897-F7E1-4E41-B84B-B1D3FA4BF1BD} (PCPitstop AntiVirus) - http://utilities.pcpitstop.com/Exterminate...opAntiVirus.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137878570476

O16 - DPF: {6F750203-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.ca/downloads/BUM/B..._2/axofupld.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://www.registrefoncier.gouv.qc.ca/Sirf...iveCGM/Acgm.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{290E63B3-F140-4638-A476-95C249ECF706}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{65CE5EBE-E646-4158-9827-39D5D83E9E58}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F032269-A0BA-43D6-8995-2B9FE63BEE09}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3DDC1D2-1AAC-4145-B560-FE4B5122FF82}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5D915B6-D730-4BCD-B8C7-9247AA3BE0E6}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\..\{0C6C0F17-AFF5-4DEF-BE91-EA5D5D0BC1A8}: NameServer = 208.67.220.220 208.67.222.222

O20 - AppInit_DLLs: C:\WINDOWS\System32\zosusewa.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: DHCPHOSTS - Unknown owner - c:\windows\system32\dllcache\win32\csrss.exe (file missing)

O23 - Service: DHCPMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: gnrzbcklsctb (lhnkpnwe5) - Unknown owner - C:\WINDOWS\System32\zldyakgl5.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Symantec PIF Service (pifService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

--

End of file - 7746 bytes

 

 

Je remarque qu'en mode normal mon IC est à 100% et que les programmes sont très difficile à démarrer contrairement en mode sans echec avec prise en charge du réseau. Explique moi un peu ce qui se passe, merci encore

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...