Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Enorme ralentissement du système (formatage => fermé)

mc19

Par mc19
dans Analyses et éradication malwares

 Partager

Messages recommandés

mc19 Member

mc19

Posté(e)
  • Auteur
Posté(e)

voila le rapport de combofix:

 

ComboFix 09-01-08.05 - patrick leschot 2009-01-09 22:20:00.9 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.656 [GMT 1:00]

Running from: c:\documents and settings\patrick leschot\Bureau\ComboFix.exe

AV: McAfee VirusScan *On-access scanning disabled* (Updated)

FW: McAfee Personal Firewall *disabled*

* Created a new restore point

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\IE4 Error Log.txt

c:\windows\system32\drivers\seneka.sys

c:\windows\system32\drivers\senekanxgdlrhn.sys

c:\windows\system32\prunnet.exe

c:\windows\system32\senekaadlylqlw.dll

c:\windows\system32\senekalog.dat

c:\windows\system32\tuvVPffc.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_SENEKA

 

 

((((((((((((((((((((((((( Files Created from 2008-12-09 to 2009-01-09 )))))))))))))))))))))))))))))))

.

 

2015-03-12 19:36 . 2008-12-15 23:14 <REP> d-------- c:\program files\Rapidown

2009-01-08 20:09 . 2009-01-08 20:09 <REP> d-------- c:\documents and settings\Yann\Contacts

2009-01-08 19:46 . 2009-01-08 19:46 <REP> d-------- c:\documents and settings\Yann\Application Data\Simply Super Software

2008-12-25 23:29 . 2009-01-07 23:14 <REP> d-------- c:\documents and settings\patrick leschot\Application Data\uTorrent

2008-12-25 23:28 . 2009-01-01 21:16 <REP> d-------- C:\Utorrent

2008-12-24 13:43 . 2008-12-24 13:43 95 --a------ c:\documents and settings\Yann\reparation.bat

2008-12-24 13:43 . 2008-12-24 13:43 95 --a------ c:\documents and settings\patrick leschot\reparation.bat

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d--h----- c:\documents and settings\Yann\Voisinage r‚seau

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d--h----- c:\documents and settings\Yann\Voisinage d'impression

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d--h----- c:\documents and settings\Yann\ModŠles

2008-12-24 12:45 . 2009-01-08 20:08 <REP> dr------- c:\documents and settings\Yann\Mes documents

2008-12-24 12:45 . 2005-09-01 07:08 <REP> dr------- c:\documents and settings\Yann\Menu D‚marrer

2008-12-24 12:45 . 2008-12-24 12:48 <REP> dr------- c:\documents and settings\Yann\Favoris

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d-------- c:\documents and settings\Yann\Bureau

2008-12-24 12:45 . 2008-12-24 07:58 <REP> d-------- c:\documents and settings\Yann\Application Data\Intel

2008-12-24 12:45 . 2006-01-27 16:08 <REP> d-------- c:\documents and settings\Yann\Application Data\Corel

2008-12-24 12:45 . 2009-01-08 20:09 <REP> d-------- c:\documents and settings\Yann

2008-12-24 08:05 . 2008-12-24 08:05 5,757 --a------ C:\WirelessDiagLog.csv

2008-12-24 08:01 . 2008-12-24 08:01 <REP> d-------- c:\documents and settings\NetworkService\Application Data\Intel

2008-12-24 08:01 . 2008-12-24 08:01 <REP> d-------- c:\documents and settings\LocalService\Application Data\Intel

2008-12-24 07:59 . 2008-12-24 07:59 <REP> d-------- c:\program files\Fichiers communs\Intel

2008-12-24 07:59 . 2008-12-24 07:59 <REP> d-------- c:\documents and settings\All Users\Application Data\Intel

2008-12-23 23:36 . 2009-01-09 22:37 10,604 --a------ c:\windows\system32\Config.MPF

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\Uniblue

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\TweakXP 2

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\Netlog 24

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\Fichiers communs\PocketSoft

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\McAfee.com Personal Firewall

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\program files\FMS

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\program files\AusLogics Disk Defrag

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\program files\Atari

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d--h----- c:\documents and settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\program files\McAfee.com

2008-12-23 23:29 . 2009-01-08 16:14 <REP> d-------- c:\program files\McAfee

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\program files\Fichiers communs\McAfee

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\patrick leschot\Application Data\McAfee

2008-12-23 23:29 . 2008-12-23 23:40 <REP> d-------- c:\documents and settings\All Users\Application Data\SiteAdvisor

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee.com

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee

2008-12-23 23:25 . 2008-12-23 23:29 <REP> d-------- c:\program files\McAfee(2).com

2008-12-23 23:25 . 2008-12-23 23:29 <REP> d-------- c:\program files\McAfee(2)

2008-12-23 23:25 . 2008-12-23 23:29 <REP> d-------- c:\program files\Fichiers communs\McAfee(2)

2008-12-23 15:12 . 2008-12-23 15:12 <REP> d-------- c:\program files\Avira

2008-12-23 15:12 . 2008-12-23 15:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-12-23 15:09 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee(2)

2008-12-22 17:24 . 2008-12-23 23:30 <REP> d-------- c:\program files\Tweak-XP Pro 4

2008-12-21 13:33 . 2008-12-31 13:01 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-21 13:33 . 2008-12-21 13:33 1,409 --a------ c:\windows\QTFont.for

2008-12-20 16:10 . 2008-04-13 11:45 60,032 --a------ c:\windows\system32\drivers\USBAUDIO.sys

2008-12-20 16:10 . 2008-04-13 11:45 60,032 --a------ c:\windows\system32\dllcache\usbaudio.sys

2008-12-20 16:10 . 2008-04-13 19:33 21,504 --a------ c:\windows\system32\hidserv.dll

2008-12-20 16:10 . 2008-04-13 19:33 21,504 --a------ c:\windows\system32\dllcache\hidserv.dll

2008-12-18 17:39 . 2009-01-01 21:14 <REP> d-------- C:\Karcher

2008-12-15 23:19 . 2008-12-16 02:15 <REP> d-------- c:\program files\Power Defrag

2008-12-15 23:19 . 2008-12-15 23:19 796,672 --a------ c:\windows\GPInstall.exe

2008-12-15 23:19 . 2000-05-22 00:00 203,976 --a------ c:\windows\system32\richtx32.ocx

2008-12-15 22:51 . 2008-12-15 22:51 <REP> d-------- c:\program files\ToniArts

2008-12-14 15:06 . 2008-12-14 15:06 <REP> d--h----- c:\windows\system32\WLANProfiles

2008-12-14 15:06 . 2008-12-14 15:06 <REP> d--h----- C:\Settings

2008-12-14 15:06 . 2008-12-14 15:06 516 --a------ C:\Settings.ini

2008-12-14 13:33 . 2008-12-28 21:48 122 --a------ c:\windows\_vmtxp.ini

2008-12-13 23:07 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll

2008-12-13 23:07 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll

2008-12-13 23:07 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll

2008-12-13 23:07 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll

2008-12-13 23:07 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll

2008-12-13 23:06 . 2008-12-29 01:23 <REP> d-------- c:\program files\Trojan Remover

2008-12-13 23:06 . 2008-12-13 23:06 <REP> d-------- c:\documents and settings\patrick leschot\Application Data\Simply Super Software

2008-12-13 23:06 . 2008-12-13 23:06 <REP> d-------- c:\documents and settings\All Users\Application Data\Simply Super Software

2008-12-12 23:50 . 2008-12-13 07:16 <REP> d-------- c:\documents and settings\patrick leschot\DoctorWeb

2008-12-12 21:50 . 2008-12-12 21:50 <REP> d-------- c:\temp\REX81

2008-12-11 19:09 . 2008-12-11 19:09 <REP> d-------- C:\Backups

2008-12-09 18:06 . 2008-12-15 23:14 <REP> d-------- c:\program files\Mozilla Firefox 3.1 Beta 2

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-09 20:43 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-01-08 22:46 --------- d-----w c:\documents and settings\patrick leschot\Application Data\MiniLyrics

2009-01-08 18:46 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-01 18:23 --------- d-----w c:\program files\eMule

2008-12-24 07:00 --------- d-----w c:\documents and settings\patrick leschot\Application Data\Intel

2008-12-24 06:59 --------- d-----w c:\program files\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX5\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX4\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX3\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX3.PATRICK\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX2\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX1\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Intel

2008-12-24 06:43 --------- d-----w c:\documents and settings\LocalService\Application Data\SACore

2008-12-24 00:46 --------- d-----w c:\program files\TuneUp Utilities 2008

2008-12-23 23:56 --------- d-----w c:\program files\CCleaner

2008-12-23 22:30 --------- d-----w c:\program files\ffdshow

2008-12-23 22:30 --------- d-----w c:\program files\DScaler5

2008-12-22 16:40 --------- d-----w c:\program files\TVersity Codec Pack

2008-12-22 16:10 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-21 23:14 --------- d-----w c:\program files\Java

2008-12-21 14:12 --------- d-----w c:\documents and settings\patrick leschot\Application Data\dvdcss

2008-12-16 23:17 --------- d-----w c:\program files\Veoh Networks

2008-12-15 22:15 --------- d-----w c:\documents and settings\patrick leschot\Application Data\UseNeXT

2008-12-15 22:15 --------- d-----w c:\documents and settings\patrick leschot\Application Data\Azureus

2008-12-15 22:14 --------- d-----w c:\program files\Windows Media Connect 2

2008-12-15 22:14 --------- d-----w c:\program files\MP3 Splitter & Joiner Pro

2008-12-15 22:14 --------- d-----w c:\program files\i386

2008-12-15 22:14 --------- d-----w c:\program files\Amor Photo Downloader

2008-12-14 19:08 --------- d-----w c:\program files\Trend Micro

2008-12-12 23:04 --------- d-----w c:\program files\ma-config.com

2008-12-09 21:45 --------- d-----w c:\program files\NCSoft

2008-12-08 20:59 --------- d-----w c:\program files\SpeedFan

2008-12-02 21:46 --------- d-----w c:\program files\GemMasterFrench

2008-12-02 20:36 --------- d-----w c:\documents and settings\patrick leschot\Application Data\Malwarebytes

2008-12-02 20:36 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-02 20:07 --------- d-----w c:\program files\Enigma Software Group

2008-12-01 21:47 --------- d-----w c:\program files\burnatonce

2008-11-28 23:02 --------- d-----w c:\program files\DivX

2008-11-18 21:17 --------- d-----w c:\program files\IDoser v4

2006-11-04 19:01 2,995,368 ----a-w c:\documents and settings\patrick leschot\SVGView.exe

2008-08-10 14:21 6,580 --sha-w c:\windows\system32\KGyGaAvL.sys

2008-07-04 20:37 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008070420080705\index.dat

.

 

((((((((((((((((((((((((((((( snapshot@2008-12-18_18.02.39.42 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-12-24 07:01:55 9,110 ----a-r c:\windows\Installer\{D2777D85-7E63-402F-A5E7-2AF436C1C9D4}\ARPPRODUCTICON.exe

+ 2008-12-24 07:01:55 49,152 ----a-r c:\windows\Installer\{D2777D85-7E63-402F-A5E7-2AF436C1C9D4}\NewShortcut1_EC2A9EA7A46E48B9A0FD04BC5EF9F6A5.exe

- 2008-12-18 16:20:49 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-01-09 20:32:52 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2008-12-18 16:20:49 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-01-09 20:32:52 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2007-11-22 04:44:08 79,304 ----a-w c:\windows\system32\drivers\mfeavfk.sys

+ 2007-11-22 05:44:08 79,304 ----a-w c:\windows\system32\drivers\mfeavfk.sys

- 2007-11-22 04:44:08 35,240 ----a-w c:\windows\system32\drivers\mfebopk.sys

+ 2007-11-22 05:44:08 35,240 ----a-w c:\windows\system32\drivers\mfebopk.sys

- 2007-11-22 04:44:08 201,320 ----a-w c:\windows\system32\drivers\mfehidk.sys

+ 2007-11-22 05:44:08 201,320 ----a-w c:\windows\system32\drivers\mfehidk.sys

- 2007-12-02 10:51:42 40,488 ----a-w c:\windows\system32\drivers\mfesmfk.sys

+ 2007-12-02 11:51:42 40,488 ----a-w c:\windows\system32\drivers\mfesmfk.sys

- 2007-07-13 04:20:24 113,952 ----a-w c:\windows\system32\drivers\Mpfp.sys

+ 2007-07-13 05:20:24 113,952 ----a-w c:\windows\system32\drivers\Mpfp.sys

- 2004-08-31 08:53:04 11,354 ----a-w c:\windows\system32\drivers\s24trans.sys

+ 2008-08-04 10:32:26 11,904 ----a-w c:\windows\system32\drivers\s24trans.sys

+ 2008-06-20 09:32:32 663,552 -c--a-w c:\windows\system32\DRVSTORE\netw5x32_74BACD4A361CF37186F7E967730975606AB2E1F8\NETw5c32.dll

+ 2008-06-20 09:33:34 2,756,608 -c--a-w c:\windows\system32\DRVSTORE\netw5x32_74BACD4A361CF37186F7E967730975606AB2E1F8\NETw5r32.dll

+ 2008-09-25 06:22:02 3,634,688 -c--a-w c:\windows\system32\DRVSTORE\netw5x32_74BACD4A361CF37186F7E967730975606AB2E1F8\NETw5x32.sys

- 2006-03-03 06:07:02 143,360 ----a-w c:\windows\system32\dunzip32.dll

+ 2006-03-03 07:07:02 143,360 ----a-w c:\windows\system32\dunzip32.dll

+ 2008-10-02 10:04:18 208,896 ----a-w c:\windows\system32\NetProvCredMan.dll

+ 2007-02-12 11:40:44 557,056 ----a-w c:\windows\system32\Netw2c32(2).dll

+ 2007-02-12 11:40:44 557,056 ----a-w c:\windows\system32\Netw2c32(3).dll

+ 2007-02-12 11:40:44 557,056 ----a-w c:\windows\system32\Netw2c32(4).dll

+ 2007-02-12 11:40:44 557,056 ----a-w c:\windows\system32\Netw2c32(5).dll

+ 2007-02-12 11:40:44 557,056 ----a-w c:\windows\system32\Netw2c32(6).dll

- 2008-10-29 16:38:00 73,580 ----a-w c:\windows\system32\perfc009.dat

+ 2008-12-25 22:37:27 73,580 ----a-w c:\windows\system32\perfc009.dat

- 2008-10-29 16:38:00 90,592 ----a-w c:\windows\system32\perfc00C.dat

+ 2008-12-25 22:37:27 90,592 ----a-w c:\windows\system32\perfc00C.dat

- 2008-10-29 16:38:00 429,380 ----a-w c:\windows\system32\perfh009.dat

+ 2008-12-25 22:37:27 429,380 ----a-w c:\windows\system32\perfh009.dat

- 2008-10-29 16:38:00 501,614 ----a-w c:\windows\system32\perfh00C.dat

+ 2008-12-25 22:37:27 501,614 ----a-w c:\windows\system32\perfh00C.dat

- 2002-12-15 01:43:40 30,938 ----a-w c:\windows\system32\s24NCfg.dll

+ 2008-05-14 14:02:58 16,896 ----a-w c:\windows\system32\S24NCfg.dll

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 401491]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-11-01 582992]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]

"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2008-10-02 1368064]

"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-10-02 1191936]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoViewOnDrive"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]

2001-12-20 23:34 24576 c:\program files\AlienGUIse\fastload.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

"msacm.ac3filter"= ac3filter.acm

"msacm.avis"= ff_acm.acm

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk

backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^MoneyPen.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\MoneyPen.lnk

backup=c:\windows\pss\MoneyPen.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]

--a------ 2004-09-13 17:33 155648 c:\program files\Apoint\Apoint.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BJCFD]

--a------ 2002-12-16 19:26 376912 c:\program files\BroadJump\Client Foundation\CFD.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]

--a------ 2005-08-31 12:06 106496 c:\program files\Corel\Corel Photo Album 6\MediaDetect.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2008-04-13 18:34 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2006-11-12 11:48 157592 c:\program files\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]

--a------ 2005-09-01 18:24 684032 c:\program files\Dell\QuickSet\quickset.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]

--a------ 2004-12-06 02:05 127035 c:\windows\system32\dla\tfswctrl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]

--------- 2005-02-23 17:19 53248 c:\program files\CyberLink\PowerDVD\DVDLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

--a------ 2004-02-24 09:20 401491 c:\program files\Microsoft ActiveSync\wcescomm.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2005-05-11 22:12 49152 c:\program files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-06-10 11:44 249856 c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-06-10 11:44 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-03-30 09:36 267048 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

--a------ 2007-06-18 14:10 271360 c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

-ra------ 2005-10-26 16:17 159744 c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2003-11-19 18:48 32881 c:\program files\Java\j2re1.4.2_03\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB Safely Remove]

--a------ 2008-07-29 11:17 3256320 c:\program files\USB Safely Remove\USBSafelyRemove.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\Program Files\\CambridgeSoft\\ChemOffice2008\\ChemDraw\\ChemDraw.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\TVersity\\Media Server\\MediaServer.exe"=

"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=

"c:\\Utorrent\\utorrent.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3776:UDP"= 3776:UDP:Service de Media Center Extender

"3390:TCP"= 3390:TCP:Services Media Center à distance

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

R3 zebrceb;Sony Ericsson Cable Emulation Bus (WDM);c:\windows\system32\drivers\zebrceb.sys [2008-06-16 63360]

S1 nmwcdd;nmwcdd;c:\windows\system32\drivers\nmwcdd.sys --> c:\windows\system32\drivers\nmwcdd.sys [?]

S1 SuperMounter;SuperMounter; [x]

S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" --> c:\program files\ma-config.com\maconfservice.exe [?]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2008-12-02 38496]

S3 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-01-25 42000]

S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);c:\windows\system32\drivers\SE2Ebus.sys [2007-04-26 61600]

S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;c:\windows\system32\drivers\SE2Emdfl.sys [2007-04-26 9360]

S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;c:\windows\system32\drivers\SE2Emdm.sys [2007-04-26 97184]

S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\SE2Emgmt.sys [2007-04-26 88688]

S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);c:\windows\system32\drivers\se2End5.sys [2007-04-26 18704]

S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;c:\windows\system32\drivers\SE2Eobex.sys [2007-04-26 86560]

S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);c:\windows\system32\drivers\se2Eunic.sys [2007-04-26 90800]

S3 xemscan;XEMTEC OCR Scanner Driver (xemscan.sys);c:\windows\system32\drivers\xemscan.sys [2006-10-09 23040]

S3 zebrbus;Sony Ericsson Composite Device driver;c:\windows\system32\drivers\zebrbus.sys [2008-06-16 83200]

S3 zebrmdfl;Sony Ericsson Modem Filter;c:\windows\system32\drivers\zebrmdfl.sys [2008-06-16 14848]

S3 zebrmdm;Sony Ericsson Port (WDM);c:\windows\system32\drivers\zebrmdm.sys [2008-06-16 109568]

S3 zebrmdmc;Sony Ericsson mRouter Port (WDM);c:\windows\system32\drivers\zebrmdmc.sys [2008-06-16 109568]

S3 zebrsce;Sony Ericsson PC-Connect Port;c:\windows\system32\drivers\zebrsce.sys [2008-06-16 91264]

S4 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [2008-10-12 206096]

S4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2005-09-01 14336]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

QWAVE REG_MULTI_SZ QWAVE

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{822107a6-9438-11db-8d92-001422ea6527}]

\Shell\AutoRun\command - G:\setupSNK.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]

c:\program files\PixiePack Codec Pack\InstallerHelper.exe

.

Contents of the 'Scheduled Tasks' folder

 

2008-12-12 c:\windows\Tasks\1-Click Maintenance.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe [2008-06-20 08:23]

 

2008-12-11 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]

 

2008-12-24 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:23]

.

- - - - ORPHANS REMOVED - - - -

 

BHO-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - c:\windows\system32\tuvVPffc.dll

HKCU-Run-prunnet - c:\windows\system32\prunnet.exe

HKLM-Run-prunnet - c:\windows\system32\prunnet.exe

ShellExecuteHooks-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - c:\windows\system32\tuvVPffc.dll

 

 

.

------- Supplementary Scan -------

.

uStart Page = www.google.com

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://search.yahoo.com/search?fr=mcafee&p=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

FF - ProfilePath - c:\documents and settings\patrick leschot\Application Data\Mozilla\Firefox\Profiles\wqx0ket5.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1361345&SearchSource=3&q=

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1361345&SearchSource=2&q=

FF - plugin: c:\documents and settings\patrick leschot\Application Data\Mozilla\Firefox\Profiles\wqx0ket5.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

FF - plugin: c:\program files\CambridgeSoft\ChemOffice2008\Chem3D\npChem3DPlugin.dll

FF - plugin: c:\program files\CambridgeSoft\ChemOffice2008\ChemDraw\NPCDP32.DLL

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll

FF - plugin: c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np32dsw.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdivx32.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npLegitCheckPlugin.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npnul32.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPOFFICE.DLL

FF - plugin: c:\program files\Mozilla Firefox\plugins\nppdf32.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin2.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin3.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin4.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin5.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin6.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin7.dll

 

---- FIREFOX POLICIES ----

FF - user.js: dom.disable_open_during_load - true // Popupblocker control handled by McAfee Privacy Service

 

 

 

 

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.notify.interval - 600000

FF - user.js: content.switch.threshold - 1000000

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: browser.tabs.closeButtons - 1

FF - user.js: browser.tabs.tabMinWidth - 100

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("gfx.color_management.mode", 2);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("gfx.color_management.rendering_intent", 0);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("gfx.downloadable_fonts.enabled", true);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("gfx.downloadable_fonts.enforce_same_site_origin", true);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("javascript.options.jit.content", true);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("javascript.options.jit.chrome", false);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("layout.css.visited_links_enabled", true);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("ui.panel.default_level_parent", false);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("image.cache.size", 5242880);

c:\program files\Mozilla Firefox 3.1 Beta 2\greprefs\all.js - pref("image.cache.timeweight", 500);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.urlbar.search.sources", 3);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.urlbar.restrict.history", "^");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.urlbar.restrict.tag", "+");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.urlbar.match.title", "#");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.urlbar.match.url", "@");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.search.cache.enabled", true);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.ctrlTab.previews", true);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.ctrlTab.recentlyUsedLimit", 7);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("privacy.sanitize.timeSpan", 0);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.swipe.left", "Browser:BackOrBackDuplicate");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.swipe.right", "Browser:ForwardOrForwardDuplicate");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.swipe.up", "cmd_scrollTop");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.swipe.down", "cmd_scrollBottom");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.pinch.out", "cmd_fullZoomEnlarge");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.pinch.in", "cmd_fullZoomReduce");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.pinch.out.shift", "cmd_fullZoomReset");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.pinch.in.shift", "cmd_fullZoomReset");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.twist.right", "Browser:NextTab");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.gesture.twist.left", "Browser:PrevTab");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-09 22:42:58

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-833895085-3817894822-2203134068-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]

@Denied: (Full) (LocalSystem)

@SACL=

"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,15"

"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"

"{208D2C60-3AEA-1069-A2D7-08002B30309D}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"

"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,22"

"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,23"

"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,24"

"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="c:\\WINDOWS\\system32\\shell32.dll,-175"

"{21EC2020-3AEA-1069-A2DD-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-137"

"{2227A280-3AEA-1069-A2DE-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-138"

"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="c:\\WINDOWS\\system32\\shell32.dll,38"

"AudioCD"="c:\\WINDOWS\\System32\\shell32.dll,40"

"{FBF23B42-E3F0-101B-8488-00AA003E56F8}"="c:\\WINDOWS\\system32\\shell32.dll,220"

"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="c:\\WINDOWS\\system32\\mydocs.dll,0"

"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="c:\\WINDOWS\\system32\\main.cpl,10"

"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="c:\\WINDOWS\\system32\\wiashext.dll,0"

"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="c:\\WINDOWS\\system32\\mstask.dll,-100"

"{88C6C381-2E85-11D0-94DE-444553540000}"="c:\\WINDOWS\\System32\\occache.dll,0"

"{BDEADF00-C265-11d0-BCED-00A0C90AB50F}"="c:\\Program Files\\COMMON~1\\MICROS~1\\WEBFOL~1\\MSONSEXT.DLL,0"

"{FF393560-C2A7-11CF-BFF4-444553540000}"="c:\\WINDOWS\\System32\\shdocvw.dll,-20785"

"{F5175861-2688-11d0-9C5E-00AA00A45957}"="c:\\WINDOWS\\System32\\webcheck.dll,0"

"{85BBD920-42A0-1069-A2E4-08002B30309D}"="c:\\WINDOWS\\system32\\syncui.dll,0"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*NULL*]

"C040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(992)

c:\windows\system32\Ati2evxx.dll

c:\program files\AlienGUIse\fastload.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Intel\WiFi\bin\S24EvMon.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Intel\WiFi\bin\EvtEng.exe

c:\progra~1\McAfee\MSC\mcmscsvc.exe

c:\progra~1\McAfee\VIRUSS~1\Mcshield.exe

c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe

c:\program files\TVersity\Media Server\MediaServer.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\windows\system32\wbem\unsecapp.exe

c:\progra~1\FICHIE~1\McAfee\MNA\McNASvc.exe

c:\windows\system32\wscntfy.exe

c:\combofix\hidec.exe

c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe

c:\program files\McAfee\MPF\MpfSrv.exe

c:\progra~1\McAfee\MSC\mcuimgr.exe

c:\windows\system32\taskmgr.exe

c:\combofix\Catchme.tmp

.

**************************************************************************

.

Completion time: 2009-01-09 22:50:02 - machine was rebooted

ComboFix-quarantined-files.txt 2009-01-09 21:48:42

ComboFix2.txt 2008-12-18 17:11:47

 

Pre-Run: 15,780,745,216 octets libres

Post-Run: 15,778,304,000 octets libres

 

484

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Un nouveau joueur démasqué...

 

Je vais devoir consulter un collègue pour la suite. J'aimerais cependant que tu me dises s'il y a un changement notable, suite au dernier lancement de ComboFix ; le démarrage est-il toujours extrêment lent ou plus lent qu'à la normale ? Y-a-t-il d'autres symptômes ?

 

Merci à l'avance.

 

@+

mc19 Member

mc19

Posté(e)
  • Auteur
Posté(e) (modifié)

le démarrage est plus rapide qu'avant le lancement de combofix effectivement....mais toujours un peu plus lent qu'a la normale.....les autres symptômes ont l'air d'avoir disparus...

 

Merci pour votre aide...

 

Finalement le temps de démarrage est de 4min-6min.....contre 1h30 avant l'infection.....

Modifié par mc19
Mark Godlike Member

Mark

Posté(e)
Posté(e) (modifié)

Bonsoir mc19 :P

 

Désolé pour le délai..

 

Après enquête et consultation, il s'avère que ton cas n'est pas lié au problème que j'ai évoqué plus tôt. Cela dit, il s'est passé plusieurs choses sur ta machine depuis le début de Décembre. Non seulement tu avais déjà fait beaucoup de ménage avant de poster ici (plusieurs analyses avec MBAM et 3 avec ComboFix - ce qui est dangereux, sans supervision...), mais il y avait des infections sévères. Il y a eu réinfections aussi, dont la toute dernière détectée par ComboFix, avec rootkit. L'infection Bagle, chopée via cracks invariablement, détruit les protections (antivirus et pare-feu), donc tu n'es pas protégé depuis plus d'un mois. Avec la multitude de programmes P2P présents sur ta machine, les cracks, etc..., toutes les conditions sont réunies pour infecter et, ultimement, endommager ta machine.

Nous allons donc terminer le nettoyage et te remettre des protections saines. Pour le reste, ce sera à toi de voir si un changement de comportement s'impose ; pour moi il est clair que oui, sinon tu te retrouveras infecté continuellement et pris avec un ordi dont les performances se détérioreront rapidement. On ne peut faire de miracles dans de telles situations, sur les forums d'aide ; Windows a ses limites et nous aussi..

 

À l'attaque :

===================

 

Supprime à nouveau l'outil ComboFix.exe qui se trouve son ton Bureau.

Télécharge une nouvelle copie de l'un des trois liens fournis dans mon post précédent, sauvegarde-le sur le Bureau mais ne lance pas l'outil.

 

 

**Le script prescrit ci-bas a été préparé pour la machine de mc19 seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

 

RegLock::
[HKEY_USERS\S-1-5-21-833895085-3817894822-2203134068-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ABCD*]

Registry :
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000000

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: ceci est normal.
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher : je te le demanderai plus tard donc tu peux fermer le fichier, qui de toute façon est sauvegardé automatiquement (C:\ComboFix.txt).

------------

------------

 

Maintenant, tu dois désinstaller la suite McAfee qui a été détruite par Bagle ; va dans le Panneau de Configuration > Ajout et suppressions de programmes, et désinstalle/supprime McAfee SecurityCenter

(s'il ya d'autres entrées pour McAfee, désinstalle/supprime tout).

 

Ensuite, il faut te mettre un nouvel antivirus - rapidement. Je te conseille fortement AntiVir (en version gratuite), qui est léger et performant ; plus performant que McAfee très certainement. Je te laisse le lien direct vers la version française :

http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe

 

Installe-le ; il fera ses mises à jour puis proposera une analyse complète. Fais l'analyse et, si détections, applique les réglages suivants :

img-215734c8f3z.png

 

Poste le rapport d'AntiVir ici dans ta réponse.

Colle également le rapport de ComboFix (C:\ComboFix.txt)

 

Il restera un peu de ménage à faire pour terminer.

 

@+

Modifié par Qc001
Correction d'un lien
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour mc19 ;

 

Ça va ? Je t'ai vu passer par ici, hier. Si questions ou problèmes, te gêne pas pour demander :P

 

Je viens tout juste d'éditer mon lien pour AntiVir, dans mon post précédent, qui n'était pas bon. Là c'est Oké.

 

@++

mc19 Member

mc19

Posté(e)
  • Auteur
Posté(e)

Bonjour Qc001,

 

Je vais bien et vous??oui je suis venez voir et imprimé la réponse que vous m'avez donné.J'ai une question pour la désinstallation de mcafee, n'existe-t-il pas un programme pour une désinstallation propre? et les ligne de code que vous m'avez écrite pour combofix, je me demandais juste ce qu'elles allaient faire.

 

Merci, je lance la procédure dès que j'ai l'ordinateur assez longtemps pour tout faire d'une traite...

 

@+

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Ça va pas trop mal, merci :P

 

1) Pour désinstaller McAfee, j'ai trouvé cet article :

http://kb.kaspersky.fr/index.php?article=1264&onglet=1

 

Solution B pour ta machine, et tu devras passer le second outil spécifié au bas également (MCPR.exe)

 

-----------

 

2) Pour ce qui est des lignes de script que je te propose : la première remet les permissions sur une clé qui a été altérée par une infection (qui touche explorer). La seconde retire un "embedded null" (caractère nul incrusté) dans cette clé de registre, qui n'a pas sa place. Tout ceci a été vérifié avant de te le proposer. La dernière ligne te remettra les alertes du Centre de Sécurité lorsque ton antivirus est désactivé ; si tu n'aimes pas, tu peux aisément le désactiver par la suite (pas conseillé par contre..). Étant donné que Bagle fout le bordel dans le Centre de Sécurité, je préfère remettre les réglages par défaut.

 

Voilou, voilà :P

mc19 Member

mc19

Posté(e)
  • Auteur
Posté(e) (modifié)

bonjour....

 

j'ai effectué la manœuvre et alors antivir se bloque quand je fait une analyse...et depuis mon ordi saccade comme c'est pas permis....que doit-je faire?

 

merci d'avoir répondu à mes question, c très gentil de votre part!

 

A +

 

edit je poste le rapport de combofix

 

 

ComboFix 09-01-10.02 - patrick leschot 2009-01-11 23:10:05.10 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.421 [GMT 1:00]

Lancé depuis: c:\documents and settings\patrick leschot\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\patrick leschot\Bureau\CFScript.txt

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\msrdo20.dll

c:\windows\system32\rdocurs.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-11 au 2009-01-11 ))))))))))))))))))))))))))))))))))))

.

 

2015-03-12 19:36 . 2008-12-15 23:14 <REP> d-------- c:\program files\Rapidown

2009-01-08 20:09 . 2009-01-08 20:09 <REP> d-------- c:\documents and settings\Yann\Contacts

2009-01-08 19:46 . 2009-01-08 19:46 <REP> d-------- c:\documents and settings\Yann\Application Data\Simply Super Software

2008-12-25 23:29 . 2009-01-07 23:14 <REP> d-------- c:\documents and settings\patrick leschot\Application Data\uTorrent

2008-12-25 23:28 . 2009-01-01 21:16 <REP> d-------- C:\Utorrent

2008-12-24 13:43 . 2008-12-24 13:43 95 --a------ c:\documents and settings\Yann\reparation.bat

2008-12-24 13:43 . 2008-12-24 13:43 95 --a------ c:\documents and settings\patrick leschot\reparation.bat

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d--h----- c:\documents and settings\Yann\Voisinage r‚seau

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d--h----- c:\documents and settings\Yann\Voisinage d'impression

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d--h----- c:\documents and settings\Yann\ModŠles

2008-12-24 12:45 . 2009-01-08 20:08 <REP> dr------- c:\documents and settings\Yann\Mes documents

2008-12-24 12:45 . 2005-09-01 07:08 <REP> dr------- c:\documents and settings\Yann\Menu D‚marrer

2008-12-24 12:45 . 2008-12-24 12:48 <REP> dr------- c:\documents and settings\Yann\Favoris

2008-12-24 12:45 . 2005-09-01 07:08 <REP> d-------- c:\documents and settings\Yann\Bureau

2008-12-24 12:45 . 2008-12-24 07:58 <REP> d-------- c:\documents and settings\Yann\Application Data\Intel

2008-12-24 12:45 . 2006-01-27 16:08 <REP> d-------- c:\documents and settings\Yann\Application Data\Corel

2008-12-24 12:45 . 2009-01-08 20:09 <REP> d-------- c:\documents and settings\Yann

2008-12-24 08:05 . 2008-12-24 08:05 5,757 --a------ C:\WirelessDiagLog.csv

2008-12-24 08:01 . 2008-12-24 08:01 <REP> d-------- c:\documents and settings\NetworkService\Application Data\Intel

2008-12-24 08:01 . 2008-12-24 08:01 <REP> d-------- c:\documents and settings\LocalService\Application Data\Intel

2008-12-24 07:59 . 2008-12-24 07:59 <REP> d-------- c:\program files\Fichiers communs\Intel

2008-12-24 07:59 . 2008-12-24 07:59 <REP> d-------- c:\documents and settings\All Users\Application Data\Intel

2008-12-23 23:36 . 2009-01-11 09:52 10,572 --a------ c:\windows\system32\Config.MPF

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\Uniblue

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\TweakXP 2

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\Netlog 24

2008-12-23 23:31 . 2008-12-23 23:31 <REP> d-------- c:\program files\Fichiers communs\PocketSoft

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\McAfee.com Personal Firewall

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\program files\FMS

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\program files\AusLogics Disk Defrag

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d-------- c:\program files\Atari

2008-12-23 23:30 . 2008-12-23 23:30 <REP> d--h----- c:\documents and settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\program files\McAfee.com

2008-12-23 23:29 . 2009-01-08 16:14 <REP> d-------- c:\program files\McAfee

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\program files\Fichiers communs\McAfee

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\patrick leschot\Application Data\McAfee

2008-12-23 23:29 . 2008-12-23 23:40 <REP> d-------- c:\documents and settings\All Users\Application Data\SiteAdvisor

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee.com

2008-12-23 23:29 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee

2008-12-23 23:25 . 2008-12-23 23:29 <REP> d-------- c:\program files\McAfee(2).com

2008-12-23 23:25 . 2008-12-23 23:29 <REP> d-------- c:\program files\McAfee(2)

2008-12-23 23:25 . 2008-12-23 23:29 <REP> d-------- c:\program files\Fichiers communs\McAfee(2)

2008-12-23 15:12 . 2008-12-23 15:12 <REP> d-------- c:\program files\Avira

2008-12-23 15:12 . 2008-12-23 15:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2008-12-23 15:09 . 2008-12-23 23:29 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee(2)

2008-12-22 17:24 . 2008-12-23 23:30 <REP> d-------- c:\program files\Tweak-XP Pro 4

2008-12-21 13:33 . 2008-12-31 13:01 54,156 --ah----- c:\windows\QTFont.qfn

2008-12-21 13:33 . 2008-12-21 13:33 1,409 --a------ c:\windows\QTFont.for

2008-12-20 16:10 . 2008-04-13 11:45 60,032 --a------ c:\windows\system32\drivers\USBAUDIO.sys

2008-12-20 16:10 . 2008-04-13 11:45 60,032 --a------ c:\windows\system32\dllcache\usbaudio.sys

2008-12-20 16:10 . 2008-04-13 19:33 21,504 --a------ c:\windows\system32\hidserv.dll

2008-12-20 16:10 . 2008-04-13 19:33 21,504 --a------ c:\windows\system32\dllcache\hidserv.dll

2008-12-18 17:39 . 2009-01-01 21:14 <REP> d-------- C:\Karcher

2008-12-15 23:19 . 2008-12-16 02:15 <REP> d-------- c:\program files\Power Defrag

2008-12-15 23:19 . 2008-12-15 23:19 796,672 --a------ c:\windows\GPInstall.exe

2008-12-15 23:19 . 2000-05-22 00:00 203,976 --a------ c:\windows\system32\richtx32.ocx

2008-12-15 22:51 . 2008-12-15 22:51 <REP> d-------- c:\program files\ToniArts

2008-12-14 15:06 . 2008-12-14 15:06 <REP> d--h----- c:\windows\system32\WLANProfiles

2008-12-14 15:06 . 2008-12-14 15:06 <REP> d--h----- C:\Settings

2008-12-14 15:06 . 2008-12-14 15:06 516 --a------ C:\Settings.ini

2008-12-14 13:33 . 2008-12-28 21:48 122 --a------ c:\windows\_vmtxp.ini

2008-12-13 23:07 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll

2008-12-13 23:07 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll

2008-12-13 23:07 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll

2008-12-13 23:07 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll

2008-12-13 23:07 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll

2008-12-13 23:06 . 2008-12-29 01:23 <REP> d-------- c:\program files\Trojan Remover

2008-12-13 23:06 . 2008-12-13 23:06 <REP> d-------- c:\documents and settings\patrick leschot\Application Data\Simply Super Software

2008-12-13 23:06 . 2008-12-13 23:06 <REP> d-------- c:\documents and settings\All Users\Application Data\Simply Super Software

2008-12-12 23:50 . 2008-12-13 07:16 <REP> d-------- c:\documents and settings\patrick leschot\DoctorWeb

2008-12-12 21:50 . 2008-12-12 21:50 <REP> d-------- c:\temp\REX81

2008-12-11 19:09 . 2008-12-11 19:09 <REP> d-------- C:\Backups

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-11 16:36 --------- d-----w c:\documents and settings\patrick leschot\Application Data\MiniLyrics

2009-01-11 15:44 --------- d-----w c:\program files\eMule

2009-01-09 20:43 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-01-08 18:46 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-01-04 17:38 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-04 17:38 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2008-12-24 07:00 --------- d-----w c:\documents and settings\patrick leschot\Application Data\Intel

2008-12-24 06:59 --------- d-----w c:\program files\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX5\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX4\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX3\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX3.PATRICK\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX2\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\MCX1\Application Data\Intel

2008-12-24 06:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Intel

2008-12-24 06:43 --------- d-----w c:\documents and settings\LocalService\Application Data\SACore

2008-12-24 00:46 --------- d-----w c:\program files\TuneUp Utilities 2008

2008-12-23 23:56 --------- d-----w c:\program files\CCleaner

2008-12-23 22:30 --------- d-----w c:\program files\ffdshow

2008-12-23 22:30 --------- d-----w c:\program files\DScaler5

2008-12-22 16:40 --------- d-----w c:\program files\TVersity Codec Pack

2008-12-22 16:10 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-21 23:14 --------- d-----w c:\program files\Java

2008-12-21 14:12 --------- d-----w c:\documents and settings\patrick leschot\Application Data\dvdcss

2008-12-16 23:17 --------- d-----w c:\program files\Veoh Networks

2008-12-15 22:15 --------- d-----w c:\documents and settings\patrick leschot\Application Data\UseNeXT

2008-12-15 22:15 --------- d-----w c:\documents and settings\patrick leschot\Application Data\Azureus

2008-12-15 22:14 --------- d-----w c:\program files\Windows Media Connect 2

2008-12-15 22:14 --------- d-----w c:\program files\MP3 Splitter & Joiner Pro

2008-12-15 22:14 --------- d-----w c:\program files\Mozilla Firefox 3.1 Beta 2

2008-12-15 22:14 --------- d-----w c:\program files\i386

2008-12-15 22:14 --------- d-----w c:\program files\Amor Photo Downloader

2008-12-14 19:08 --------- d-----w c:\program files\Trend Micro

2008-12-13 06:37 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll

2008-12-12 23:04 --------- d-----w c:\program files\ma-config.com

2008-12-09 21:45 --------- d-----w c:\program files\NCSoft

2008-12-08 20:59 --------- d-----w c:\program files\SpeedFan

2008-12-02 21:46 --------- d-----w c:\program files\GemMasterFrench

2008-12-02 20:36 --------- d-----w c:\documents and settings\patrick leschot\Application Data\Malwarebytes

2008-12-02 20:36 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-02 20:07 --------- d-----w c:\program files\Enigma Software Group

2008-12-01 21:47 --------- d-----w c:\program files\burnatonce

2008-11-28 23:02 --------- d-----w c:\program files\DivX

2008-11-18 21:17 --------- d-----w c:\program files\IDoser v4

2008-10-24 12:47 43,520 ----a-w c:\windows\system32\CmdLineExt03.dll

2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-23 12:36 286,720 ------w c:\windows\system32\dllcache\gdi32.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll

2008-10-16 13:12 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll

2008-10-16 13:11 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll

2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll

2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll

2008-10-15 07:06 633,632 ----a-w c:\windows\system32\dllcache\iexplore.exe

2008-10-15 07:04 161,792 ------w c:\windows\system32\dllcache\ieakui.dll

2006-11-04 19:01 2,995,368 ----a-w c:\documents and settings\patrick leschot\SVGView.exe

2008-08-10 14:21 6,580 --sha-w c:\windows\system32\KGyGaAvL.sys

2008-07-04 20:37 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008070420080705\index.dat

.

 

((((((((((((((((((((((((((((( snapshot_2009-01-09_22.46.08.79 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-01-09 20:32:52 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-01-11 17:52:48 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-01-09 20:32:52 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-01-11 17:52:48 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2007-11-02 13:22:36 83,496 ----a-w c:\windows\system32\drivers\s217bus.sys

+ 2007-11-02 13:22:38 12,200 ----a-w c:\windows\system32\drivers\s217wh.sys

+ 2007-11-02 13:22:38 12,200 ----a-w c:\windows\system32\drivers\s217whnt.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 401491]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-11-01 582992]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]

"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2008-10-02 1368064]

"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-10-02 1191936]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoViewOnDrive"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]

2001-12-20 23:34 24576 c:\program files\AlienGUIse\fastload.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

"msacm.ac3filter"= ac3filter.acm

"msacm.avis"= ff_acm.acm

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk

backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^MoneyPen.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\MoneyPen.lnk

backup=c:\windows\pss\MoneyPen.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]

--a------ 2004-09-13 17:33 155648 c:\program files\Apoint\Apoint.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BJCFD]

--a------ 2002-12-16 19:26 376912 c:\program files\BroadJump\Client Foundation\CFD.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]

--a------ 2005-08-31 12:06 106496 c:\program files\Corel\Corel Photo Album 6\MediaDetect.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2008-04-13 18:34 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2006-11-12 11:48 157592 c:\program files\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]

--a------ 2005-09-01 18:24 684032 c:\program files\Dell\QuickSet\quickset.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]

--a------ 2004-12-06 02:05 127035 c:\windows\system32\dla\tfswctrl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]

--------- 2005-02-23 17:19 53248 c:\program files\CyberLink\PowerDVD\DVDLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

--a------ 2004-02-24 09:20 401491 c:\program files\Microsoft ActiveSync\wcescomm.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2005-05-11 22:12 49152 c:\program files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-06-10 11:44 249856 c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-06-10 11:44 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-03-30 09:36 267048 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

--a------ 2007-06-18 14:10 271360 c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

-ra------ 2005-10-26 16:17 159744 c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2003-11-19 18:48 32881 c:\program files\Java\j2re1.4.2_03\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB Safely Remove]

--a------ 2008-07-29 11:17 3256320 c:\program files\USB Safely Remove\USBSafelyRemove.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\Program Files\\CambridgeSoft\\ChemOffice2008\\ChemDraw\\ChemDraw.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\TVersity\\Media Server\\MediaServer.exe"=

"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=

"c:\\Utorrent\\utorrent.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3776:UDP"= 3776:UDP:Service de Media Center Extender

"3390:TCP"= 3390:TCP:Services Media Center à distance

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

S1 nmwcdd;nmwcdd;c:\windows\system32\drivers\nmwcdd.sys --> c:\windows\system32\drivers\nmwcdd.sys [?]

S1 SuperMounter;SuperMounter; [x]

S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" --> c:\program files\ma-config.com\maconfservice.exe [?]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2008-12-02 38496]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-01-25 42000]

S3 xemscan;XEMTEC OCR Scanner Driver (xemscan.sys);c:\windows\system32\drivers\xemscan.sys [2006-10-09 23040]

S4 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [2008-10-12 206096]

S4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2005-09-01 14336]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

QWAVE REG_MULTI_SZ QWAVE

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{822107a6-9438-11db-8d92-001422ea6527}]

\Shell\AutoRun\command - G:\setupSNK.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]

c:\program files\PixiePack Codec Pack\InstallerHelper.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-12 c:\windows\Tasks\1-Click Maintenance.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe [2008-06-20 08:23]

 

2008-12-11 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]

 

2008-12-24 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:23]

.

.

------- Examen supplémentaire -------

.

uStart Page = www.google.com

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://search.yahoo.com/search?fr=mcafee&p=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\patrick leschot\Application Data\Mozilla\Firefox\Profiles\wqx0ket5.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1361345&SearchSource=3&q=

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1361345&SearchSource=2&q=

FF - plugin: c:\documents and settings\patrick leschot\Application Data\Mozilla\Firefox\Profiles\wqx0ket5.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll

FF - plugin: c:\program files\CambridgeSoft\ChemOffice2008\Chem3D\npChem3DPlugin.dll

FF - plugin: c:\program files\CambridgeSoft\ChemOffice2008\ChemDraw\NPCDP32.DLL

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll

FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np32dsw.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdivx32.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npLegitCheckPlugin.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npnul32.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPOFFICE.DLL

FF - plugin: c:\program files\Mozilla Firefox\plugins\nppdf32.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin2.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin3.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin4.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin5.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin6.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin7.dll

 

---- FIREFOX POLICIES ----

FF - user.js: dom.disable_open_during_load - true // Popupblocker control handled by McAfee Privacy Service

 

 

 

 

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.notify.interval - 600000

FF - user.js: content.switch.threshold - 1000000

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: browser.tabs.closeButtons - 1

FF - user.js: browser.tabs.tabMinWidth - 100

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);

c:\program files\Mozilla Firefox 3.1 Beta 2\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-11 23:14:47

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(984)

c:\windows\system32\Ati2evxx.dll

c:\program files\AlienGUIse\fastload.dll

.

Heure de fin: 2009-01-11 23:19:03

ComboFix-quarantined-files.txt 2009-01-11 22:18:39

ComboFix2.txt 2009-01-09 21:50:04

ComboFix3.txt 2008-12-18 17:11:47

 

Avant-CF: 13'739'880'448 octets libres

AprÞs-CF: 13,721,235,456 octets libres

 

368

Modifié par mc19
mc19 Member

mc19

Posté(e)
  • Auteur
Posté(e)

le système est vraiment instable voir impossible à utilisé...l'uc reste à 100, les programmes se bloquent, l'accès aux fichiers est très lente. etc

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci pour ce rapport :P

 

ComboFix a détecté et supprimé deux fichiers qui sont des faux positifs. sUBs nous a avisé hier et il avait déjà rectifié avec une nouvelle version. Tu as fait tourner la version affectée (pas de ta faute) alors on va corriger ça tout de suite et remettre les fichiers au bon endroit. Comme ceci :

==============

 

**Le script prescrit ci-bas a été préparé pour la machine de mc19 seulement et ne dois pas être exécuté sur une autre machine**

 

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

 

DeQuarantine::
C:\Qoobox\Quarantine\c\windows\system32\msrdo20.dll.vir
C:\Qoobox\Quarantine\c\windows\system32\rdocurs.dll.vir

Quit::

 

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

 

 

 

CFScript.gif

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  • ComboFix sera lancé.
  • *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ta réponse (DeQuarantine_log.txt).

 

Dis-moi également si la machine va mieux depuis ton dernier post. Si tu n'as pas tenté un scan AntiVir en mode Sans Échec, tu pourrais le faire si ça bloque toujours. Colle le rapport d'AntiVir ici également, si tu y arrives. Sinon on regardera ça de plus près.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...