[resolu]Vatoteju.dll

[Dstyx]

Bon Cf à bien voulu fonctionner cette fois

 

Log

 

ComboFix 08-12-26.01 - Administrateur 2008-12-27 15:33:20.6 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1023.824 [GMT 1:00]

Lancé depuis: C:\ComboFix.exe

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)

FW: Kaspersky Anti-Virus *disabled*

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\system32\vjdylnld.ini

c:\windows\system32\xaeefssx.ini

 

----- BITS: Il y a peut-être des sites infectés -----

 

hxxp://77.74.48.105

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ISODRIVE

-------\Service_ISODrive

-------\Service_poof

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-27 au 2008-12-27 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-27 14:21 . 2008-12-27 14:21 <REP> d-------- C:\rsit

2008-12-27 10:19 . 2008-12-26 20:21 2,887,936 -ra------ C:\ComboFix.exe

2008-12-27 10:17 . 2008-12-27 15:46 2,148 --a------ c:\windows\system32\wpa.dbl

2008-12-26 22:09 . 2008-12-27 15:25 6,456 --ah----- c:\windows\system32\papimohi

2008-12-26 20:17 . 2008-12-26 20:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Office Genuine Advantage

2008-12-26 17:03 . 2008-12-27 09:41 <REP> d-------- C:\!KillBox

2008-12-26 17:01 . 2008-08-27 03:28 <REP> d-------- C:\327882R2FWJFW

2008-12-24 22:29 . 2008-12-24 22:29 268 --ah----- C:\sqmdata01.sqm

2008-12-24 22:29 . 2008-12-24 22:29 244 --ah----- C:\sqmnoopt01.sqm

2008-12-24 16:32 . 2008-12-24 16:32 268 --ah----- C:\sqmdata00.sqm

2008-12-24 16:32 . 2008-12-24 16:32 244 --ah----- C:\sqmnoopt00.sqm

2008-12-12 17:12 . 2008-10-03 11:03 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll

2008-12-01 17:41 . 2008-08-25 16:48 40,496 --a------ c:\windows\system32\drivers\hotcore3.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-27 14:46 --------- d-----w c:\documents and settings\David\Application Data\uTorrent

2008-12-27 14:27 950,304 --sha-w c:\windows\system32\drivers\fidbox2.dat

2008-12-27 14:26 97,376 --sha-w c:\windows\system32\drivers\fidbox2.idx

2008-12-27 14:26 358,412 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-12-27 14:26 26,331,680 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-12-27 12:29 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab

2008-12-27 12:03 --------- d-----w c:\documents and settings\David\Application Data\MailWasherPro

2008-12-26 20:22 --------- d-----w c:\documents and settings\David\Application Data\teamspeak2

2008-11-25 17:19 --------- d-----w c:\program files\MSECache

2008-11-25 17:03 --------- d--h--w c:\program files\InstallShield Installation Information

2008-11-12 19:34 --------- d-----w c:\program files\TeamSpeak3

2008-11-11 18:06 --------- d-----w c:\documents and settings\David\Application Data\Codemasters

2008-11-11 16:48 --------- d--h--r c:\documents and settings\David\Application Data\SecuROM

2008-11-11 15:27 --------- d-----w c:\documents and settings\David\Application Data\InstallShield

2008-11-11 15:26 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2008-11-11 15:26 --------- d-----w c:\program files\AGEIA Technologies

2008-10-16 19:58 121 ----a-w C:\nero.bat

2008-09-07 09:13 22,328 ----a-w c:\documents and settings\David\Application Data\PnkBstrK.sys

2008-07-29 14:58 23,056 ----a-w c:\documents and settings\David\Application Data\GDIPFONTCACHEV1.DAT

2007-11-22 17:19 94,208 ----a-w c:\documents and settings\David\Application Data\ezplay.sys

2007-11-22 17:19 47,360 ----a-w c:\documents and settings\David\Application Data\pcouffin.sys

2008-09-26 11:57 60,928 --sha-w c:\windows\system32\mawudeke.dll

2008-09-26 11:57 60,928 --sha-w c:\windows\system32\wegabalu.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]

"uTorrent"="c:\documents and settings\David\Bureau\utorrent.exe" [2008-08-21 267056]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 1204224]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SecurDisc"="c:\utilitaires\ahead\Nero7\Nero 7\InCD\NBHGui.exe" [2007-03-12 1626160]

"PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]

"Sunkist2k"="c:\program files\Multimedia Card Reader\shwicon2k.exe" [2004-09-03 139264]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]

"Opware15"="c:\program files\ScanSoft\OmniPage15.0\Opware15.exe" [2005-07-05 69632]

"PDF3 Registry Controller"="c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" [2005-04-12 106496]

"OODefragTray"="c:\windows\System32\oodtray.exe" [2007-06-28 2512128]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-06-26 282624]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]

"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-27 199184]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HPAiODevice(hp officejet g series) - 1.lnk - c:\utilitaires\HPg55\AiO\hp officejet g series\Bin\hpoavn07.exe [2002-11-20 151552]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLS"=c:\windows\system32\jogonelu.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= i420vfw.dll

"msacm.l3acm"= l3codecp.acm

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

"vidc.ffds"= ffdshow.ax

"VIDC.ACDV"= ACDV.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ATI CATALYST System Tray.lnk]

backup=c:\windows\pss\ATI CATALYST System Tray.lnkCommon Startup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2003-02-28 20:00 315392 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT Task]

--a------ 2006-11-03 12:20 264704 c:\program files\Portrait Displays\HP My Display\dthtml.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]

--a------ 2003-05-30 08:42 585728 c:\program files\Analog Devices\SoundMAX\SMax4.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

--a------ 2003-05-29 15:28 790528 c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"usnjsvc"=3 (0x3)

"sdCoreService"=3 (0x3)

"sdAuxService"=3 (0x3)

"Alerter"=3 (0x3)

"srservice"=2 (0x2)

"SharedAccess"=2 (0x2)

"wuauserv"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Documents and Settings\\David\\Bureau\\utorrent.exe"=

"c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\utilitaires\\Incredimail\\bin\\IncMail.exe"=

"c:\\utilitaires\\Incredimail\\bin\\IMApp.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\utilitaires\\Incredimail\\bin\\ImpCnt.exe"=

"c:\\utilitaires\\Incredimail\\bin\\ImLc.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R0 hotcore3;Hotcore helper;c:\windows\system32\DRIVERS\hotcore3.sys [2008-12-01 40496]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-06 28544]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]

S2 ioloFileInfoList;iolo FileInfoList Service;c:\program files\iolo\common\lib\ioloServiceManager.exe []

S2 ioloSystemService;iolo System Service;c:\program files\iolo\common\lib\ioloServiceManager.exe []

S3 SunkFilt6;Alcor Micro Corp - 6360;\??\c:\windows\System32\Drivers\sunkfilt6.sys []

S3 SunkFilt62;Alcor Micro Corp - 6362;\??\c:\windows\System32\Drivers\sunkfilt62.sys [2004-07-23 46536]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56d86d2a-d269-11dd-9884-806d6172696f}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{b4237a65-d383-4438-8b07-1892fc2e4466} - c:\windows\system32\vatoteju.dll

HKLM-Run-wowihubota - c:\windows\system32\yenojupa.dll

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.telemoustique.be/tm/programme_tele_grid18.html?taal=f&dag=vandaag18

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

IE: &Add animation to IncrediMail Style Box - c:\utilit~1\INCRED~1\bin\resources\WebMenuImg.htm

IE: E&xporter vers Microsoft Excel - c:\micros~1\Office10\EXCEL.EXE/3000

IE: Open with Scansoft PDF Converter 3.0

 

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\David\Application Data\Mozilla\Firefox\Profiles\iua6pld4.default\

FF - prefs.js: browser.startup.homepage - hxxp://quebec-partage.com//index.php | http://www.telemoustique.be/tm/programme_tele.html

FF - plugin: c:\documents and settings\All Users\Application Data\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\utilitaires\VLC\npvlc.dll

 

ATTENTION: FIREFOX POLICES IS IN FORCE

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 15:45:34

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1324)

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll

c:\windows\system32\Ati2evxx.dll

c:\windows\System32\klogon.dll

 

- - - - - - - > 'lsass.exe'(1408)

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\dnsq.dll

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Portrait Displays\HP My Display\DTSRVC.exe

c:\utilitaires\ahead\Nero7\Nero 7\InCD\InCDsrv.exe

c:\windows\system32\WgaTray.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\oodag.exe

c:\windows\system32\PnkBstrA.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\windows\system32\wdfmgr.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

c:\progra~1\MICROS~3\rapimgr.exe

c:\utilit~1\HPg55\AiO\Shared\Bin\hpoevm07.exe

c:\utilitaires\HPg55\AiO\Shared\Bin\hposts07.exe

c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2008-12-27 15:48:58 - La machine a redémarré [David]

ComboFix-quarantined-files.txt 2008-12-27 14:48:54

 

Avant-CF: 24 608 059 392 octets libres

Après-CF: 24,500,060,160 octets libres

 

224 --- E O F --- 2008-12-20 15:35:56

 

C'est vrai qu'il est chiant , d'habitude je m'en sort seul mais là

[Dstyx]

il y a tjs ça

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLS"=c:\windows\system32\jogonelu.dll

 

je l'ai supprimée du registre .

 

Je reboote

[angelique]

non attends , je lis le rapport!! ne fait rien tout seul sans mon avis.

[angelique]

héhé , on va le TERMINATED! comme ça, et verifier un truc:

 

» ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

File::
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
c:\windows\system32\mawudeke.dll
c:\windows\system32\wegabalu.dll
c:\windows\system32\jogonelu.dll
Dirlook::
c:\windows\system32\papimohi
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLS"=-
"AppInit_DLLS"=""
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56d86d2a-d269-11dd-9884-806d6172696f}]

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[Dstyx]

C'est fait , j'ai lu cet avis un peu tard ....

bref maintenant Cf fonctionne en mode normal

 

et voila le rapport

 

ComboFix 08-12-26.03 - David 2008-12-27 16:17:20.7 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1023.598 [GMT 1:00]

LancÚ depuis: c:\documents and settings\David\Bureau\ComboFix.exe

Commutateurs utilisÚs :: c:\documents and settings\David\Bureau\CFScript.txt

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)

FW: Kaspersky Anti-Virus *disabled*

* Un nouveau point de restauration a ÚtÚ crÚÚ

 

AVERTISSEMENT - LA CONSOLE DE R+CUP+RATION N'EST PAS INSTALL+E SUR CETTE MACHINE !!

 

FILE ::

C:\sqmdata00.sqm

C:\sqmdata01.sqm

C:\sqmnoopt00.sqm

C:\sqmnoopt01.sqm

c:\windows\system32\jogonelu.dll

c:\windows\system32\mawudeke.dll

c:\windows\system32\wegabalu.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\sqmdata00.sqm

C:\sqmdata01.sqm

C:\sqmnoopt00.sqm

C:\sqmnoopt01.sqm

c:\windows\system32\mawudeke.dll

c:\windows\system32\wegabalu.dll

 

.

((((((((((((((((((((((((((((( Fichiers crÚÚs du 2008-11-27 au 2008-12-27 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-27 16:07 . 2008-12-27 16:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Office Genuine Advantage

2008-12-27 14:21 . 2008-12-27 14:21 <REP> d-------- C:\rsit

2008-12-27 10:19 . 2008-12-26 20:21 2,887,936 -ra------ C:\ComboFix.exe

2008-12-27 10:17 . 2008-12-27 16:12 2,148 --a------ c:\windows\system32\wpa.dbl

2008-12-26 22:09 . 2008-12-27 15:25 6,456 --ah----- c:\windows\system32\papimohi

2008-12-26 17:03 . 2008-12-27 09:41 <REP> d-------- C:\!KillBox

2008-12-26 17:01 . 2008-08-27 03:28 <REP> d-------- C:\327882R2FWJFW

2008-12-12 17:12 . 2008-10-03 11:03 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll

2008-12-01 17:41 . 2008-08-25 16:48 40,496 --a------ c:\windows\system32\drivers\hotcore3.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-27 15:19 955,424 --sha-w c:\windows\system32\drivers\fidbox2.dat

2008-12-27 15:12 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab

2008-12-27 15:11 --------- d-----w c:\documents and settings\David\Application Data\uTorrent

2008-12-27 15:08 97,616 --sha-w c:\windows\system32\drivers\fidbox2.idx

2008-12-27 15:08 358,412 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-12-27 15:08 26,331,680 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-12-27 12:03 --------- d-----w c:\documents and settings\David\Application Data\MailWasherPro

2008-12-26 20:22 --------- d-----w c:\documents and settings\David\Application Data\teamspeak2

2008-11-25 17:19 --------- d-----w c:\program files\MSECache

2008-11-25 17:03 --------- d--h--w c:\program files\InstallShield Installation Information

2008-11-12 19:34 --------- d-----w c:\program files\TeamSpeak3

2008-11-11 18:06 --------- d-----w c:\documents and settings\David\Application Data\Codemasters

2008-11-11 16:48 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-11-11 16:48 --------- d--h--r c:\documents and settings\David\Application Data\SecuROM

2008-11-11 15:27 --------- d-----w c:\documents and settings\David\Application Data\InstallShield

2008-11-11 15:26 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2008-11-11 15:26 --------- d-----w c:\program files\AGEIA Technologies

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll

2008-10-16 19:58 121 ----a-w C:\nero.bat

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-04 18:05 306,432 ----a-w c:\windows\system32\TuneUpDefragService.exe

2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll

2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-09-07 09:13 22,328 ----a-w c:\documents and settings\David\Application Data\PnkBstrK.sys

2008-07-29 14:58 23,056 ----a-w c:\documents and settings\David\Application Data\GDIPFONTCACHEV1.DAT

2007-11-22 17:19 94,208 ----a-w c:\documents and settings\David\Application Data\ezplay.sys

2007-11-22 17:19 47,360 ----a-w c:\documents and settings\David\Application Data\pcouffin.sys

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

---- Directory of c:\windows\system32\papimohi ----

 

c:\windows\system32\papimohi\

 

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ÚlÚments vides & les ÚlÚments initiaux lÚgitimes ne sont pas listÚs

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]

"uTorrent"="c:\documents and settings\David\Bureau\utorrent.exe" [2008-08-21 267056]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 1204224]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SecurDisc"="c:\utilitaires\ahead\Nero7\Nero 7\InCD\NBHGui.exe" [2007-03-12 1626160]

"PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]

"Sunkist2k"="c:\program files\Multimedia Card Reader\shwicon2k.exe" [2004-09-03 139264]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]

"Opware15"="c:\program files\ScanSoft\OmniPage15.0\Opware15.exe" [2005-07-05 69632]

"PDF3 Registry Controller"="c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe" [2005-04-12 106496]

"OODefragTray"="c:\windows\System32\oodtray.exe" [2007-06-28 2512128]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-06-26 282624]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]

"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HPAiODevice(hp officejet g series) - 1.lnk - c:\utilitaires\HPg55\AiO\hp officejet g series\Bin\hpoavn07.exe [2002-11-20 151552]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= i420vfw.dll

"msacm.l3acm"= l3codecp.acm

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

"msacm.divxa32"= DivXa32.acm

"vidc.ffds"= ffdshow.ax

"VIDC.ACDV"= ACDV.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ATI CATALYST System Tray.lnk]

backup=c:\windows\pss\ATI CATALYST System Tray.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2003-02-28 20:00 315392 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT Task]

--a------ 2006-11-03 12:20 264704 c:\program files\Portrait Displays\HP My Display\dthtml.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]

--a------ 2003-05-30 08:42 585728 c:\program files\Analog Devices\SoundMAX\SMax4.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

--a------ 2003-05-29 15:28 790528 c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"usnjsvc"=3 (0x3)

"sdCoreService"=3 (0x3)

"sdAuxService"=3 (0x3)

"Alerter"=3 (0x3)

"srservice"=2 (0x2)

"SharedAccess"=2 (0x2)

"wuauserv"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Documents and Settings\\David\\Bureau\\utorrent.exe"=

"c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\utilitaires\\Incredimail\\bin\\IncMail.exe"=

"c:\\utilitaires\\Incredimail\\bin\\IMApp.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\utilitaires\\Incredimail\\bin\\ImpCnt.exe"=

"c:\\utilitaires\\Incredimail\\bin\\ImLc.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R0 hotcore3;Hotcore helper;c:\windows\system32\DRIVERS\hotcore3.sys [2008-12-01 40496]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-06 28544]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]

S2 ioloFileInfoList;iolo FileInfoList Service;c:\program files\iolo\common\lib\ioloServiceManager.exe []

S2 ioloSystemService;iolo System Service;c:\program files\iolo\common\lib\ioloServiceManager.exe []

S3 SunkFilt6;Alcor Micro Corp - 6360;\??\c:\windows\System32\Drivers\sunkfilt6.sys []

S3 SunkFilt62;Alcor Micro Corp - 6362;\??\c:\windows\System32\Drivers\sunkfilt62.sys [2004-07-23 46536]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

.

------- Examen supplÚmentaire -------

.

uStart Page = hxxp://www.telemoustique.be/tm/programme_tele_grid18.html?taal=f&dag=vandaag18

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

IE: &Add animation to IncrediMail Style Box - c:\utilit~1\INCRED~1\bin\resources\WebMenuImg.htm

IE: Add to Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

IE: E&xporter vers Microsoft Excel - c:\micros~1\Office10\EXCEL.EXE/3000

IE: Open with Scansoft PDF Converter 3.0

 

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

 

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\David\Application Data\Mozilla\Firefox\Profiles\iua6pld4.default\

FF - prefs.js: browser.startup.homepage - hxxp://quebec-partage.com//index.php | http://www.telemoustique.be/tm/programme_tele.html

FF - plugin: c:\documents and settings\All Users\Application Data\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\utilitaires\VLC\npvlc.dll

 

ATTENTION: FIREFOX POLICES IS IN FORCE

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-27 16:19:36

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachÚs ...

 

Recherche d'ÚlÚments en dÚmarrage automatique cachÚs ...

 

Recherche de fichiers cachÚs ...

 

Scan terminÚ avec succÞs

Fichiers cachÚs: 0

 

**************************************************************************

.

--------------------- DLLs chargÚes dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1356)

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll

c:\windows\system32\Ati2evxx.dll

c:\windows\System32\klogon.dll

 

- - - - - - - > 'lsass.exe'(1412)

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\dnsq.dll

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll

c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll

.

Heure de fin: 2008-12-27 16:20:33

ComboFix-quarantined-files.txt 2008-12-27 15:20:30

ComboFix2.txt 2008-12-27 14:49:03

 

Avant-CF: 24,520,273,920 octets libres

AprÞs-CF: 24,503,234,560 octets libres

 

211 --- E O F --- 2008-12-20 15:35:56

 

Je le lis en même temps

[Dstyx]

Ca a l'air clean

 

encore une question

 

une idée de ce qu'est ceci?????

2008-12-26 22:09 . 2008-12-27 15:25 6,456 --ah----- c:\windows\system32\papimohi

[Dstyx]

Il est aussi rapide qu'avant l'infection, tout à l'air de fonctionner normalement, Un MERCI

 

Pour être clair , G dépanner un copain qui avait une grosse infection en installant son disque sur mon pc car il ne démarrais plus chez lui, et puis résultat , me suis chopé un de ses brols.

 

Soyez sympas , enfin avec un prénom aussi joli, il y a tjs qq pour veillez sur les autres, MERCI ANGElique.

 

:P

[angelique]

Ca a l'air clean

 

encore une question

 

une idée de ce qu'est ceci?????

2008-12-26 22:09 . 2008-12-27 15:25 6,456 --ah----- c:\windows\system32\papimohi

 

 

c'est ce que j'ai demandé à Combofix de me dire:

 

((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

---- Directory of c:\windows\system32\papimohi ----

 

c:\windows\system32\papimohi\

 

 

apparemment c'est vide , n'est ce pas?? alors supprime

 

» desinstalle ComboFix en copiant_collant la ligne ci dessous dans executer et valide la:

 

ComboFix /u

 

» supp. c:\combofix , C:\!KillBox

 

» Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner:

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

et c'est ok! Bye \o_

[Dstyx]

No file were remove , it's clean

 

Tks a lot

 

Au plaisir, merci en particulier à toi mais à toute votre équipe