Alerte récurrente de l'antivirus

[jezabel]

voilà le rapport. Note : avant l'affichage du rapport il y a eu un redémarrage de windows et mon antivirus s'est manifesté comme quand j'ai essayé de lancer combofix sans le désactiver. Le souci c'est qu'il s'est réactivé au nouveau lancement de windows.

 

ComboFix 08-12-06.06 - nègre 2008-12-07 23:51:31.2 - NTFSx86

Microsoft® Windows Vista™ Professionnel 6.0.6001.1.1252.1.1036.18.1810 [GMT 1:00]

Lancé depuis: c:\users\nègre\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\nègre\Desktop\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\cisvc.exe

c:\windows\logman.exe

c:\windows\system\mstsc.exe

c:\windows\System32\drivers\cmstp.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\cisvc.exe

c:\windows\logman.exe

c:\windows\system\mstsc.exe

c:\windows\System32\drivers\cmstp.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-07 au 2008-12-07 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-07 23:11 . 2008-09-05 18:03 86,016 --a------ c:\users\nègre\AppData\Roaming\mqtgsvc.exe

2008-12-07 22:07 . 2008-12-07 22:07 <REP> d-------- C:\rsit

2008-12-07 20:28 . 2008-09-05 18:03 86,016 --a------ c:\users\nègre\AppData\Roaming\spoolsv.exe

2008-12-07 19:21 . 2008-12-07 19:21 <REP> d-------- C:\_OTMoveIt

2008-12-07 19:19 . 2008-09-05 18:03 86,016 --a------ c:\windows\System32\drivers\mstinit.exe

2008-12-07 17:44 . 2008-12-07 17:44 401,720 --a------ c:\users\nègre\HiJackThis.exe

2008-12-07 17:44 . 2008-12-07 17:44 401,720 --a------ c:\users\nègre\HiJackThis.exe

2008-11-30 14:13 . 2008-10-16 22:13 1,809,944 --a------ c:\windows\System32\wuaueng.dll

2008-11-30 14:13 . 2008-10-16 21:56 1,524,736 --a------ c:\windows\System32\wucltux.dll

2008-11-30 14:13 . 2008-10-16 22:12 561,688 --a------ c:\windows\System32\wuapi.dll

2008-11-30 14:13 . 2008-10-16 14:08 162,064 --a------ c:\windows\System32\wuwebv.dll

2008-11-30 14:13 . 2008-10-16 21:55 83,456 --a------ c:\windows\System32\wudriver.dll

2008-11-30 14:13 . 2008-10-16 22:09 51,224 --a------ c:\windows\System32\wuauclt.exe

2008-11-30 14:13 . 2008-10-16 22:09 43,544 --a------ c:\windows\System32\wups2.dll

2008-11-30 14:13 . 2008-10-16 22:08 34,328 --a------ c:\windows\System32\wups.dll

2008-11-30 14:13 . 2008-10-16 13:56 31,232 --a------ c:\windows\System32\wuapp.exe

2008-11-28 12:12 . 2008-11-28 12:12 <REP> d-------- c:\users\nègre\AppData\Roaming\Malwarebytes

2008-11-28 12:12 . 2008-11-28 12:12 <REP> d-------- c:\users\All Users\Malwarebytes

2008-11-28 12:12 . 2008-11-28 12:12 <REP> d-------- c:\programdata\Malwarebytes

2008-11-28 12:12 . 2008-12-07 17:52 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-11-28 12:12 . 2008-12-03 19:52 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys

2008-11-28 12:12 . 2008-12-03 19:52 15,504 --a------ c:\windows\System32\drivers\mbam.sys

2008-11-28 09:41 . 2008-10-21 06:25 1,645,568 --a------ c:\windows\System32\connect.dll

2008-11-28 09:40 . 2008-08-28 04:40 712,704 --a------ c:\windows\System32\WindowsCodecs.dll

2008-11-28 09:40 . 2008-08-28 04:40 425,472 --a------ c:\windows\System32\PhotoMetadataHandler.dll

2008-11-28 09:40 . 2008-08-28 04:40 347,136 --a------ c:\windows\System32\WindowsCodecsExt.dll

2008-11-28 09:40 . 2008-10-22 04:57 241,152 --a------ c:\windows\System32\PortableDeviceApi.dll

2008-11-20 19:06 . 2008-08-17 11:33 678,408 --a------ c:\windows\System32\gpprefcl.dll

2008-11-14 23:43 . 2008-12-02 23:33 54,156 --ah----- c:\windows\QTFont.qfn

2008-11-14 23:43 . 2008-11-14 23:43 1,409 --a------ c:\windows\QTFont.for

2008-11-14 00:11 . 2008-11-14 00:19 <REP> d-------- c:\program files\SupraASCIIArt

2008-11-12 19:32 . 2008-09-10 04:40 1,334,272 --a------ c:\windows\System32\msxml6.dll

2008-11-12 19:32 . 2008-09-05 06:14 1,191,936 --a------ c:\windows\System32\msxml3.dll

2008-11-12 19:32 . 2008-08-27 02:05 212,480 --a------ c:\windows\System32\drivers\mrxsmb10.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-07 22:54 6,553,600 --sha-w c:\users\nègre\NTUSER.DAT

2008-12-07 22:54 6,553,600 --sha-w c:\users\nègre\NTUSER.DAT

2008-12-07 21:52 4,980,736 --sha-w c:\users\Cécile\NTUSER.DAT

2008-12-07 21:52 4,980,736 --sha-w c:\users\Cécile\NTUSER.DAT

2008-12-07 16:44 401,720 ----a-w c:\users\nègre\HiJackThis.exe

2008-12-07 16:44 401,720 ----a-w c:\users\nègre\HiJackThis.exe

2008-12-07 12:50 --------- d-----w c:\programdata\AntiVir PersonalEdition Classic

2008-11-30 13:25 --------- d-----w c:\users\nègre\AppData\Roaming\OpenOffice.org2

2008-11-29 14:27 --------- d-----w c:\program files\Eraser

2008-11-29 14:27 --------- d-----w c:\program files\CCleaner

2008-11-29 14:27 --------- d-----w c:\program files\a-squared Free

2008-11-29 14:26 --------- d-----w c:\program files\Spybot - Search & Destroy

2008-11-29 14:22 --------- d-----w c:\program files\SpywareBlaster

2008-11-28 11:12 --------- d-----w c:\users\nègre\AppData\Roaming\Malwarebytes

2008-11-21 08:51 --------- d-----w c:\programdata\Spybot - Search & Destroy

2008-11-03 18:20 --------- d-----w c:\programdata\ma-config.com

2008-11-03 18:20 --------- d-----w c:\program files\ma-config.com

2008-10-23 21:58 --------- d-s---w c:\users\Cécile\AppData\Roaming\Microsoft

2008-10-23 09:20 --------- d-----w c:\users\Cécile\AppData\Roaming\Mozilla

2008-10-20 20:35 --------- d-----w c:\program files\Codemasters

2008-10-20 12:39 --------- d--h--w c:\program files\InstallShield Installation Information

2008-10-20 12:39 --------- d-----w c:\programdata\Codemasters

2008-10-20 08:07 --------- d-----w c:\program files\OpenAL

2008-10-17 13:32 --------- d-----w c:\program files\Athens 2004

2008-10-15 18:00 --------- d-----w c:\program files\Windows Mail

2008-10-11 14:26 --------- d-----w c:\program files\Mozilla Thunderbird

2008-09-05 17:03 86,016 ----a-w c:\users\nègre\AppData\Roaming\spoolsv.exe

2008-09-05 17:03 86,016 ----a-w c:\users\nègre\AppData\Roaming\mqtgsvc.exe

2008-07-25 19:44 174 --sha-w c:\program files\desktop.ini

2008-07-19 20:18 446,230,875 ----a-w c:\users\NGRE~2\setup-2.bin

2007-07-29 15:27 705,496 ----a-w c:\users\Public\installer-39506-17-CCleaner-French.exe

2008-08-01 12:25 88 --sh--r c:\windows\System32\412DB83299.sys

2008-08-01 12:25 1,682 --sha-w c:\windows\System32\KGyGaAvL.sys

.

 

((((((((((((((((((((((((((((( snapshot@2008-12-07_22.55.48,15 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-12-07 18:22:59 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2008-12-07 22:54:02 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2008-12-07 18:24:28 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-12-07 22:54:54 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-12-07 22:54:54 262,144 ---ha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat.LOG1

- 2008-12-07 18:24:23 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-12-07 22:54:54 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-12-07 22:54:54 262,144 ---ha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1

- 2008-11-02 17:31:53 1,642,808 ----a-w c:\windows\System32\FNTCACHE.DAT

+ 2008-12-07 22:54:30 1,642,808 ----a-w c:\windows\System32\FNTCACHE.DAT

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"CloneCDElbyCDFL"="c:\program files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]

"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-03-06 36864]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"mxomssmenu"="c:\program files\Maxtor\OneTouch Status\maxmenumgr.exe" [2008-07-21 169312]

 

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]

"Spool"="c:\users\NGRE~1\AppData\Roaming\spoolsv.exe" [2008-09-05 86016]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm

"msacm.MPEGacm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm

"msacm.ulmp3acm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3989977098-1871649959-1308902764-1000]

"EnableNotificationsRef"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{1EFFDF73-D9E3-4C6C-B3D5-572BF799D683}"= TCP:c:\program files\Autodesk\Backburner\server.exe:backburner 2.3 server

"{EF66DF6C-DA40-45C1-87DB-8C8CD56C78EA}"= UDP:c:\program files\Autodesk\Backburner\server.exe:backburner 2.3 server

"{9EE07DAA-DE6A-4924-BB2E-E5C2DA965D7A}"= TCP:c:\program files\Autodesk\Backburner\manager.exe:backburner 2.3 manager

"{BDF8EE40-D180-4EEF-B4A3-FAB199706B47}"= UDP:c:\program files\Autodesk\Backburner\manager.exe:backburner 2.3 manager

"{D8772E15-1791-43BA-915A-33D7A8346CAB}"= TCP:c:\program files\Autodesk\Backburner\monitor.exe:backburner 2.3 monitor

"{22BDD7DB-4DF1-460B-81EF-4FA39FB0F374}"= UDP:c:\program files\Autodesk\Backburner\monitor.exe:backburner 2.3 monitor

"{CE680527-609F-4227-AB3F-967E5C0D980C}"= TCP:c:\program files\Autodesk\3ds Max 9\3dsmax.exe:Autodesk 3ds Max 9 32-bit

"{02308735-8423-4751-9DE6-19B2CE867FB5}"= UDP:c:\program files\Autodesk\3ds Max 9\3dsmax.exe:Autodesk 3ds Max 9 32-bit

"UDP Query User{68D8289C-AC6C-4BB1-88FF-0B375A2CCE79}c:\\program files\\e frontier\\poser 7\\poser.exe"= TCP:c:\program files\e frontier\poser 7\poser.exe:Poser executable file

"TCP Query User{B3352131-6F2A-479E-8193-75EBEAB1057F}c:\\program files\\e frontier\\poser 7\\poser.exe"= UDP:c:\program files\e frontier\poser 7\poser.exe:Poser executable file

"UDP Query User{F1AF1368-BD28-4034-8B5E-CFCB681ED088}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"TCP Query User{12130006-A756-478F-8350-A625D7AD49D0}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"UDP Query User{FD3D117B-435F-4A6F-840C-59F0AF7EBF3A}c:\\program files\\trackmania nations eswc\\tmnationseswc.exe"= TCP:c:\program files\trackmania nations eswc\tmnationseswc.exe:TmNationsESWC

"TCP Query User{7B0D2CD4-2934-4116-9DD5-BAAAC49137AD}c:\\program files\\trackmania nations eswc\\tmnationseswc.exe"= UDP:c:\program files\trackmania nations eswc\tmnationseswc.exe:TmNationsESWC

"UDP Query User{63C68E0B-E628-46E7-AF02-FF6567452470}c:\\program files\\trackmania nations eswc\\tmnationseswc.exe"= TCP:c:\program files\trackmania nations eswc\tmnationseswc.exe:TmNationsESWC

"TCP Query User{3458B4F8-D98B-47FC-920C-8C6C18C46A0C}c:\\program files\\trackmania nations eswc\\tmnationseswc.exe"= UDP:c:\program files\trackmania nations eswc\tmnationseswc.exe:TmNationsESWC

"UDP Query User{66DE1193-8C2A-42A0-89F9-778AD65F3D23}c:\\program files\\bittorrent\\bittorrent.exe"= TCP:c:\program files\bittorrent\bittorrent.exe:bittorrent

"TCP Query User{F770785C-5EE1-4BB8-B1B7-6F0AA7092B3A}c:\\program files\\bittorrent\\bittorrent.exe"= UDP:c:\program files\bittorrent\bittorrent.exe:bittorrent

"UDP Query User{30697472-32B7-47CE-9948-5DF7A2902B6A}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox

"TCP Query User{C7E05A58-C8CA-49DE-A792-22CE12C1DA02}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox

"UDP Query User{042A9DB3-D99B-4295-BE20-6066B3262F80}c:\\movamp\\mnt\\usr\\local\\apache2\\bin\\apache.exe"= TCP:c:\movamp\mnt\usr\local\apache2\bin\apache.exe:Apache HTTP Server

"TCP Query User{6584065A-BD88-4B61-A88A-31C4FF5499CC}c:\\movamp\\mnt\\usr\\local\\apache2\\bin\\apache.exe"= UDP:c:\movamp\mnt\usr\local\apache2\bin\apache.exe:Apache HTTP Server

"UDP Query User{8BFB18A1-FDF2-4023-BDBF-11EDF87E0A8B}c:\\movamp\\mnt\\usr\\local\\mysql\\bin\\mysqld.exe"= TCP:c:\movamp\mnt\usr\local\mysql\bin\mysqld.exe:mysqld

"TCP Query User{66FB58E2-F4C9-4AB3-88BE-BFE9841DF6BD}c:\\movamp\\mnt\\usr\\local\\mysql\\bin\\mysqld.exe"= UDP:c:\movamp\mnt\usr\local\mysql\bin\mysqld.exe:mysqld

"UDP Query User{37CFCF5D-67EC-4852-BF46-12B5566FDC00}c:\\users\\nègre\\desktop\\movamp\\mnt\\usr\\local\\mysql\\bin\\mysqld.exe"= TCP:c:\users\nègre\desktop\movamp\mnt\usr\local\mysql\bin\mysqld.exe:mysqld.exe

"TCP Query User{855681DF-0EA4-4E63-B32C-B0DD78A0AD0E}c:\\users\\nègre\\desktop\\movamp\\mnt\\usr\\local\\mysql\\bin\\mysqld.exe"= UDP:c:\users\nègre\desktop\movamp\mnt\usr\local\mysql\bin\mysqld.exe:mysqld.exe

"{33A95756-696B-4836-9D08-430E0FE02039}"= TCP:4669:eMule

"{C5B64F91-4D43-4799-820B-1F0F988247E4}"= TCP:4669:eMule

"UDP Query User{A586B216-43B6-4DDE-A657-B20CBB8B37A3}c:\\program files\\e-on software\\vue 6 xstream\\application\\vue 6 xstream.eon"= Disabled:TCP:c:\program files\e-on software\vue 6 xstream\application\vue 6 xstream.eon:Vue 6 xStream.eon

"TCP Query User{A3CC07CE-D840-48CE-B795-7DF4D5FDBC47}c:\\program files\\e-on software\\vue 6 xstream\\application\\vue 6 xstream.eon"= Disabled:UDP:c:\program files\e-on software\vue 6 xstream\application\vue 6 xstream.eon:Vue 6 xStream.eon

"{BDD52BD1-B142-4688-A82D-1EEA08237D86}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{5C785D1E-6BB8-4695-9C23-332E52000DDB}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"UDP Query User{1F3A92C8-E523-4EBE-AFE7-0B630A6809D0}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

"TCP Query User{6378C20E-A87F-45B5-9903-F75DA0C14DD0}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"UDP Query User{2AC4B52F-1005-4264-8947-B068E6B65FFC}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule

"TCP Query User{D7922AA8-3FDB-483D-AD39-73F7E0636F77}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule

"TCP Query User{5D729616-852C-441D-BCB8-E72AFC0D7001}c:\\program\\green border\\sea battle\\seabattle.exe"= UDP:c:\program\green border\sea battle\seabattle.exe:Green Border Sea Battle

"UDP Query User{788CBDBF-4169-4CAC-A55E-EA44E6D345A8}c:\\program\\green border\\sea battle\\seabattle.exe"= TCP:c:\program\green border\sea battle\seabattle.exe:Green Border Sea Battle

"TCP Query User{67A4B2DC-9ABF-496C-93E9-BE85CE82F77E}c:\\users\\nègre\\desktop\\das_boot_1.0\\das boot.exe"= UDP:c:\users\nègre\desktop\das_boot_1.0\das boot.exe:das boot.exe

"UDP Query User{6E3423CE-578B-4AD6-87D9-31773CB93A0E}c:\\users\\nègre\\desktop\\das_boot_1.0\\das boot.exe"= TCP:c:\users\nègre\desktop\das_boot_1.0\das boot.exe:das boot.exe

"TCP Query User{C6BED574-ED13-44B6-9A5B-758924C6FF78}c:\\program files\\netintellgames\\net sea war 4\\seawar.exe"= UDP:c:\program files\netintellgames\net sea war 4\seawar.exe:Net Sea War

"UDP Query User{1220AA84-28E6-4049-B4E8-17F68580271F}c:\\program files\\netintellgames\\net sea war 4\\seawar.exe"= TCP:c:\program files\netintellgames\net sea war 4\seawar.exe:Net Sea War

"TCP Query User{10D2B4EA-A0DE-4B7E-85CF-2443A0593B9E}c:\\program files\\codemasters\\colin mcrae - dirt\\dirt.exe"= UDP:c:\program files\codemasters\colin mcrae - dirt\dirt.exe:DiRT Executable

"UDP Query User{F7E527C9-B506-4D4C-AEFF-27358B6C7EF6}c:\\program files\\codemasters\\colin mcrae - dirt\\dirt.exe"= TCP:c:\program files\codemasters\colin mcrae - dirt\dirt.exe:DiRT Executable

"{C7222D63-E7F1-49F2-ABCB-33BF3D89FD18}"= UDP:48113:LocalSubnet:LocalSubnet:maconfig_tcp

"{FBDD44DF-EF1B-46FC-86C8-A1B2F2B1C4FA}"= TCP:48113:LocalSubnet:LocalSubnet:maconfig_udp

"{2D24A0FB-ABE2-477A-9497-8EB7095BB6B2}"= UDP:c:\program files\ma-config.com\maconfservice.exe:maconfservice

"{4076580F-88EC-4EC6-9E1E-383B02A41206}"= TCP:c:\program files\ma-config.com\maconfservice.exe:maconfservice

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"DoNotAllowExceptions"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]

"c:\\Program Files\\BitTorrent\\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

 

R2 Maxtor Sync Service;Maxtor Service;"c:\program files\Maxtor\Sync\SyncServices.exe" [2008-07-21 193888]

R3 HabuFltr;Habu Mouse;c:\windows\system32\drivers\habu.sys [2008-02-08 27776]

S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" [2008-11-02 195752]

S3 WMSvc;Service de gestion Web;c:\windows\system32\inetsrv\wmsvc.exe [2008-06-14 11264]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10bfe7f9-7067-11dd-9454-00196610b979}]

\shell\AutoRun\command - .\Encryption Tool\MaxtorEncryption.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-07 c:\windows\Tasks\User_Feed_Synchronization-{1559A6B9-87C7-4552-AD27-F2EAF32344CB}.job

- c:\windows\system32\msfeedssync.exe [2008-01-19 08:33]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Explorer_Run-Cisvc - c:\windows\cisvc.exe

 

 

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

 

c:\windows\Downloaded Program Files\MegaMocapWeb.ocx - O16 -: {E3E6FFEE-748F-43BA-87AE-B1F1B11ED193}

hxxp://www.charactermotion.com/products/powermoves/megamocap/MegaMocapWeb.ocx

FireFox -: Profile - c:\users\nègre\AppData\Roaming\Mozilla\Firefox\Profiles\wa6gzygd.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE -

FF -: plugin - c:\program files\ma-config.com\nphardwaredetection.dll

FF -: plugin - c:\users\nègre\AppData\Roaming\Mozilla\Firefox\Profiles\wa6gzygd.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

.

 

**************************************************************************

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés:

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\Ati2evxx.exe

c:\windows\System32\audiodg.exe

c:\windows\System32\Ati2evxx.exe

c:\program files\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\a-squared Free\a2service.exe

c:\program files\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe

c:\windows\System32\inetsrv\inetinfo.exe

c:\windows\System32\TCPSVCS.EXE

c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

c:\windows\System32\conime.exe

c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe

c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

c:\windows\System32\wbem\WMIADAP.exe

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2008-12-07 23:59:27 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-12-07 22:59:09

ComboFix2.txt 2008-12-07 21:56:40

 

Avant-CF: 139 560 054 784 octets libres

Après-CF: 139,649,896,448 octets libres

 

258 --- E O F --- 2008-12-04 17:11:19

[Falkra]

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\412DB83299.sys
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

[jezabel]

Fichier 412DB83299.sys reçu le 2008.12.08 00:07:21 (CET)

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.12.6.0 2008.12.06 -

AntiVir 7.9.0.42 2008.12.07 -

Authentium 5.1.0.4 2008.12.07 -

Avast 4.8.1281.0 2008.12.06 -

AVG 8.0.0.199 2008.12.07 -

BitDefender 7.2 2008.12.07 -

CAT-QuickHeal 10.00 2008.12.06 -

ClamAV 0.94.1 2008.12.07 -

Comodo 698 2008.12.06 -

DrWeb 4.44.0.09170 2008.12.07 -

eSafe 7.0.17.0 2008.12.07 -

eTrust-Vet 31.6.6246 2008.12.05 -

Ewido 4.0 2008.12.07 -

F-Prot 4.4.4.56 2008.12.04 -

F-Secure 8.0.14332.0 2008.12.07 -

Fortinet 3.117.0.0 2008.12.07 -

GData 19 2008.12.07 -

Ikarus T3.1.1.45.0 2008.12.07 -

K7AntiVirus 7.10.547 2008.12.06 -

Kaspersky 7.0.0.125 2008.12.07 -

McAfee 5456 2008.12.06 -

McAfee+Artemis 5456 2008.12.06 -

Microsoft 1.4205 2008.12.07 -

NOD32 3668 2008.12.06 -

Norman 5.80.02 2008.12.05 -

Panda 9.0.0.4 2008.12.07 -

PCTools 4.4.2.0 2008.12.07 -

Prevx1 V2 2008.12.08 -

Rising 21.06.62.00 2008.12.07 -

SecureWeb-Gateway 6.7.6 2008.12.07 -

Sophos 4.36.0 2008.12.07 -

Sunbelt 3.1.1832.2 2008.12.01 -

Symantec 10 2008.12.07 -

TheHacker 6.3.1.2.179 2008.12.06 -

TrendMicro 8.700.0.1004 2008.12.05 -

VBA32 3.12.8.10 2008.12.07 -

ViRobot 2008.12.6.1504 2008.12.06 -

VirusBuster 4.5.11.0 2008.12.05 -

Information additionnelle

File size: 88 bytes

MD5...: 7a8bb0d8c80defaa402005c98d23b35d

SHA1..: c1915319d7d5e11e76ed1bea411bf5c70dce4c83

SHA256: 3b5fa76d7f3bb6a76fdb9c76142dbe842dbd5a1986a406f61aaa871bd8d33c96

SHA512: c56bd34d6905b5f52ae75984281c0e695995b90ed1b8a412b4d97016cd1212b9<br>d1cce7b38eb0aa86417e56010e98687bbcf012768a947073d236d3974a5fa346<br>

ssdeep: 3:hl/tS+:I+<br>

PEiD..: -

TrID..: File type identification<br>MS Flight Simulator Aircraft Performance Info (100.0%)

PEInfo: -

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.12.6.0 2008.12.06 -

AntiVir 7.9.0.42 2008.12.07 -

Authentium 5.1.0.4 2008.12.07 -

Avast 4.8.1281.0 2008.12.06 -

AVG 8.0.0.199 2008.12.07 -

BitDefender 7.2 2008.12.07 -

CAT-QuickHeal 10.00 2008.12.06 -

ClamAV 0.94.1 2008.12.07 -

Comodo 698 2008.12.06 -

DrWeb 4.44.0.09170 2008.12.07 -

eSafe 7.0.17.0 2008.12.07 -

eTrust-Vet 31.6.6246 2008.12.05 -

Ewido 4.0 2008.12.07 -

F-Prot 4.4.4.56 2008.12.04 -

F-Secure 8.0.14332.0 2008.12.07 -

Fortinet 3.117.0.0 2008.12.07 -

GData 19 2008.12.07 -

Ikarus T3.1.1.45.0 2008.12.07 -

K7AntiVirus 7.10.547 2008.12.06 -

Kaspersky 7.0.0.125 2008.12.07 -

McAfee 5456 2008.12.06 -

McAfee+Artemis 5456 2008.12.06 -

Microsoft 1.4205 2008.12.07 -

NOD32 3668 2008.12.06 -

Norman 5.80.02 2008.12.05 -

Panda 9.0.0.4 2008.12.07 -

PCTools 4.4.2.0 2008.12.07 -

Prevx1 V2 2008.12.08 -

Rising 21.06.62.00 2008.12.07 -

SecureWeb-Gateway 6.7.6 2008.12.07 -

Sophos 4.36.0 2008.12.07 -

Sunbelt 3.1.1832.2 2008.12.01 -

Symantec 10 2008.12.07 -

TheHacker 6.3.1.2.179 2008.12.06 -

TrendMicro 8.700.0.1004 2008.12.05 -

VBA32 3.12.8.10 2008.12.07 -

ViRobot 2008.12.6.1504 2008.12.06 -

VirusBuster 4.5.11.0 2008.12.05 -

 

Information additionnelle

File size: 88 bytes

MD5...: 7a8bb0d8c80defaa402005c98d23b35d

SHA1..: c1915319d7d5e11e76ed1bea411bf5c70dce4c83

SHA256: 3b5fa76d7f3bb6a76fdb9c76142dbe842dbd5a1986a406f61aaa871bd8d33c96

SHA512: c56bd34d6905b5f52ae75984281c0e695995b90ed1b8a412b4d97016cd1212b9<br>d1cce7b38eb0aa86417e56010e98687bbcf012768a947073d236d3974a5fa346<br>

ssdeep: 3:hl/tS+:I+<br>

PEiD..: -

TrID..: File type identification<br>MS Flight Simulator Aircraft Performance Info (100.0%)

PEInfo: -

[Falkra]

Oki. Poste un nouveau rapport HijackThis stp (clic droit admin, comme d'hab).

[jezabel]

sitôt dit :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:13:29, on 08/12/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\conime.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Windows\Explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\nègre\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [uVS10 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [mxomssmenu] "C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [spool] C:\Users\NGRE~1\AppData\Roaming\spoolsv.exe /waitservice (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [spool] C:\Users\NGRE~1\AppData\Roaming\spoolsv.exe /waitservice (User 'Default user')

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll

O13 - Gopher Prefix:

O16 - DPF: {E3E6FFEE-748F-43BA-87AE-B1F1B11ED193} (MegaMocapWeb Control) - http://www.charactermotion.com/products/po...egaMocapWeb.ocx

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

 

--

End of file - 7294 bytes

[Falkra]

Ca m'a l'air bon là.

 

Je vérifie ça après une bonne nuit de sommeil.

 

@ demain. (le plus gros est fait)

[jezabel]

a demain et merci encore

[jezabel]

Bon ben ça continue les alertes...

[Falkra]

Antivir a mis à jour les fichiers que j'ai envoyé.

 

Je te recommande un scan complet avec Antivir. Mets-le à jour d'abord (clic droit, start update sur l'icône près de l'horloge).

Une fois à jour, double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Scan system now" à droite de "Last complete system scan".

 

/!\ Cela peut être long.

Tu peux sauvegarder le rapport en fin de parcours (bouton "Report").

 

Si Antivir détecte des fichiers infectés, mets en quarantaine (choisis "Move to quarantine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

[jezabel]

Je procède et j'envoie le rapport