Rapport HijackThis suite infection

[pear]

Bonsoir,

 

Mshtml.dll a été chargé mais le point d'entrée DllRegisterServer est introuvable.

Ce fichier ne peut pas être enregistré.

 

C'est un grand classique.

Et c'est normal car si vous faites une recherche sur mshtml.dll, vous en trouverez une dizaine .

Chaque update kb.... concernant Ie en ajoute.

 

Pour " j'ai plus de réseau.", je n'ai pas de réponse.

Désolé!

Voyez le forum dédié "Internet et réseau"

[buddy]

Bon j'ai de nouveau redémarré et ça remarche, va savoir.

 

Voici un nouveau rapport Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:36:22, on 21/01/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

E:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Logi_MwX.Exe

E:\Program Files\Logitech\Video\LogiTray.exe

E:\Program Files\Gmail Notifier\gnotify.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\LVComsX.exe

E:\Program Files\Logitech\Video\FxSvr2.exe

E:\Program Files\TRENDnet\MFP Server\Control Center.exe

E:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

E:\Program Files\Microsoft ActiveSync\wcescomm.exe

E:\PROGRA~1\MICROS~3\rapimgr.exe

e:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe

E:\Program Files\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe

E:\Program Files\POP Peeper\POPPeeper.exe

E:\Program Files\Free Download Manager\fdm.exe

E:\Program Files\DAEMON Tools Lite\daemon.exe

E:\Program Files\Logitech\SetPoint\SetPoint.exe

E:\Program Files\i-Buddy Manager\i-BuddyManager.exe

E:\Program Files\SpeedFan\speedfan.exe

E:\Program Files\2BrightSparks\SyncBackSE\SyncBackSE.exe

E:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

E:\Program Files\Diskeeper\DkService.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE

C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

E:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

E:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

C:\WINDOWS\System32\svchost.exe

E:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

E:\Program Files\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {D2E7D054-CC5F-4821-89BF-E3FF1D3961E7} - C:\WINDOWS\system32\pmnkIBTJ.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - c:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - c:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [LogitechVideoRepair] e:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] e:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] e:\Program Files\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Control Center] E:\Program Files\TRENDnet\MFP Server\Control Center.exe -mini

O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKCU\..\Run: [POP Peeper] "e:\Program Files\POP Peeper\POPPeeper.exe" -min

O4 - HKCU\..\Run: [Free Download Manager] e:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: i-Buddy Manager.lnk = E:\Program Files\i-Buddy Manager\i-BuddyManager.exe (User 'SYSTEM')

O4 - S-1-5-18 Startup: Raccourci vers speedfan.lnk = E:\Program Files\SpeedFan\speedfan.exe (User 'SYSTEM')

O4 - S-1-5-18 Startup: SyncBackSE.lnk = E:\Program Files\2BrightSparks\SyncBackSE\SyncBackSE.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: i-Buddy Manager.lnk = E:\Program Files\i-Buddy Manager\i-BuddyManager.exe (User 'Default user')

O4 - .DEFAULT Startup: Raccourci vers speedfan.lnk = E:\Program Files\SpeedFan\speedfan.exe (User 'Default user')

O4 - .DEFAULT Startup: SyncBackSE.lnk = E:\Program Files\2BrightSparks\SyncBackSE\SyncBackSE.exe (User 'Default user')

O4 - Startup: i-Buddy Manager.lnk = E:\Program Files\i-Buddy Manager\i-BuddyManager.exe

O4 - Startup: Raccourci vers speedfan.lnk = E:\Program Files\SpeedFan\speedfan.exe

O4 - Startup: SyncBackSE.lnk = E:\Program Files\2BrightSparks\SyncBackSE\SyncBackSE.exe

O4 - Global Startup: Logitech SetPoint.lnk = E:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://e:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://e:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://e:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://e:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://e:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - e:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{63E3B944-A80F-4828-BDC1-CC49290DEDD3}: NameServer = 192.168.0.1

O20 - AppInit_DLLs: jcklcm.dll

O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - (no file)

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - e:\Program Files\a-squared Free\a2service.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe

O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - E:\Program Files\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - E:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Diskeeper - Diskeeper Corporation - E:\Program Files\Diskeeper\DkService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GhostStartService - Symantec Corporation - E:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\LBTServ.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - e:\Program Files\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - e:\Program Files\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe

O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - E:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe

O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - E:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - e:\Program Files\RealVNC\VNC4\WinVNC4.exe

 

--

End of file - 11709 bytes

 

 

 

 

J'ai mis à jour en IE7 mais j'ai toujours des problèmes, voir le logo google :

 

J'ai passé sybot et il me trouve encore des trucs ?

 

A quoi sert CTFMON.EXE? Et comment le virer?

 

Merci pour votre aide

[pear]

Bonsoir,

 

A quoi sert CTFMON.EXE? Et comment le virer?

 

C'est un truc pour les langues orientales ????

J'ai donné plus haut une méthode de suppression, qui marche, parfois...

C'est systématiquement réinstallé par Office ??????

 

Vous allez télécharger Combofix.

 

Renommer ComboFix seulement si on vous le demande

Dans certains cas, Ver Bagle, Rootkit Tdss par exemple,il est nécessaire de renommer ComboFix.exe avant le téléchargement pour traiter l' infection.

Désinstallez Combofix, s'il est sur votre machine.

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....votre nom.exe ( par exemple dupont.exe)

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir -> votre nom.exe

Cliquez enfin sur -> Enregistrer

Lancez votrenom.exe

En cas de problème, :

méthode illustrée

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[buddy]

Voici le rapport de ComboFix

 

ComboFix 09-01-21.01 - Nicolas 2009-01-21 22:48:35.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1594 [GMT 1:00]

Lancé depuis: c:\documents and settings\Nicolas\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

FW: Sunbelt Personal Firewall *disabled*

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\Tasks\swaryakq.job

D:\Autorun.inf

E:\Autorun.inf

F:\Autorun.inf

 

----- BITS: Il y a peut-être des sites infectés -----

 

hxxp://speedytorrents.net

hxxp://childhe.com

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-21 au 2009-01-21 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-21 19:40 . 2009-01-21 19:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-01-21 19:25 . 2009-01-21 19:25 1,374 --a------ c:\windows\imsins.BAK

2009-01-21 19:24 . 2009-01-21 19:24 <REP> d--h----- c:\windows\$hf_mig$

2009-01-19 19:36 . 2009-01-19 19:36 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Malwarebytes

2009-01-19 19:36 . 2009-01-19 19:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-01-19 19:36 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-19 19:36 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-01-18 13:28 . 2009-01-21 20:36 <REP> d-------- C:\HijackThis

2009-01-18 10:20 . 2009-01-18 11:15 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-01-18 10:20 . 2009-01-19 17:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-01-18 00:55 . 2008-10-31 07:09 270,888 -ra------ c:\windows\system32\drivers\SbFw.sys

2009-01-18 00:55 . 2008-06-21 04:54 65,576 --a------ c:\windows\system32\drivers\SbFwIm.sys

2009-01-17 22:10 . 2009-01-17 22:10 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Babylon

2009-01-17 22:10 . 2009-01-17 22:10 <REP> d-------- c:\documents and settings\All Users\Application Data\Babylon

2009-01-12 19:17 . 2009-01-21 20:25 <REP> d-------- c:\documents and settings\Nicolas\Tracing

2009-01-12 19:12 . 2009-01-12 19:12 <REP> d-------- c:\program files\Microsoft

2009-01-12 19:11 . 2009-01-12 19:11 <REP> d-------- c:\program files\Windows Live SkyDrive

2009-01-12 19:06 . 2009-01-12 19:06 <REP> d-------- c:\program files\Fichiers communs\Windows Live

2009-01-09 19:05 . 2009-01-17 14:45 1,830,697 --a------ c:\windows\system32\drivers\fwdrv.err

2009-01-04 21:08 . 2009-01-04 21:08 <REP> d-------- c:\program files\Windows Media Connect 2

2008-12-23 17:26 . 2009-01-01 20:16 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Bioshock

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-21 21:39 --------- d-----w c:\documents and settings\Nicolas\Application Data\Free Download Manager

2009-01-17 23:04 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-01-17 23:03 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-01-12 18:12 --------- d-----w c:\program files\Windows Live

2009-01-04 22:01 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-23 13:35 --------- d-----w c:\program files\Fichiers communs\Maxtor

2008-12-19 10:28 --------- d-----w c:\program files\Microsoft Games for Windows - LIVE

2008-12-14 17:53 --------- d-----w c:\program files\MSBuild

2008-12-14 17:51 --------- d-----w c:\program files\Reference Assemblies

2008-12-13 12:57 --------- d-----w c:\program files\AGEIA Technologies

2008-12-13 12:51 219,648 ----a-w c:\windows\system32\uxtheme.dll

2008-12-03 23:14 --------- d-----w c:\documents and settings\Nicolas\Application Data\InstallShield

2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll

2008-12-01 11:14 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-11-29 15:40 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet

2008-11-29 15:39 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared

2008-11-29 15:39 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-11-29 15:35 9,464 ------w c:\windows\system32\drivers\cdralw2k.sys

2008-11-29 15:35 9,336 ------w c:\windows\system32\drivers\cdr4_xp.sys

2008-11-29 15:35 43,528 ------w c:\windows\system32\drivers\PxHelp20.sys

2008-11-29 15:35 129,784 ------w c:\windows\system32\pxafs.dll

2008-11-29 15:35 118,520 ------w c:\windows\system32\pxinsi64.exe

2008-11-29 15:35 116,472 ------w c:\windows\system32\pxcpyi64.exe

2008-11-15 11:50 1,700,352 ----a-w c:\windows\system32\gdiplus.dll

2008-10-28 16:41 14,303,392 ----a-w c:\windows\system32\xlive.dll

2008-10-28 16:41 13,643,936 ----a-w c:\windows\system32\xlivefnt.dll

2007-12-29 12:50 103,736 ----a-w c:\documents and settings\Nicolas\Application Data\PnkBstrB.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H/PC Connection Agent"="e:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 81920]

"POP Peeper"="e:\program files\POP Peeper\POPPeeper.exe" [2008-07-18 1437696]

"Free Download Manager"="e:\program files\Free Download Manager\fdm.exe" [2008-05-20 2474031]

"DAEMON Tools Lite"="e:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

"LogitechVideoRepair"="e:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]

"LogitechVideoTray"="e:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="e:\program files\Gmail Notifier\gnotify.exe" [2005-07-15 479232]

"Sunkist2k"="c:\program files\Multimedia Card Reader\shwicon2k.exe" [2004-08-06 135168]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]

"Control Center"="e:\program files\TRENDnet\MFP Server\Control Center.exe" [2008-09-17 3179008]

"avgnt"="e:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\Nicolas\Menu D‚marrer\Programmes\D‚marrage\

i-Buddy Manager.lnk - e:\program files\i-Buddy Manager\i-BuddyManager.exe [2008-12-14 1019904]

Raccourci vers speedfan.lnk - e:\program files\SpeedFan\speedfan.exe [2007-09-17 2902528]

SyncBackSE.lnk - e:\program files\2BrightSparks\SyncBackSE\SyncBackSE.exe [2007-09-22 6281984]

 

c:\documents and settings\Nicolas\Menu D‚marrer\Programmes\D‚marrage\

i-Buddy Manager.lnk - e:\program files\i-Buddy Manager\i-BuddyManager.exe [2008-12-14 1019904]

Raccourci vers speedfan.lnk - e:\program files\SpeedFan\speedfan.exe [2007-09-17 2902528]

SyncBackSE.lnk - e:\program files\2BrightSparks\SyncBackSE\SyncBackSE.exe [2007-09-22 6281984]

 

c:\documents and settings\Nicolas\Menu D‚marrer\Programmes\D‚marrage\

i-Buddy Manager.lnk - e:\program files\i-Buddy Manager\i-BuddyManager.exe [2008-12-14 1019904]

Raccourci vers speedfan.lnk - e:\program files\SpeedFan\speedfan.exe [2007-09-17 2902528]

SyncBackSE.lnk - e:\program files\2BrightSparks\SyncBackSE\SyncBackSE.exe [2007-09-22 6281984]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Logitech SetPoint.lnk - e:\program files\Logitech\SetPoint\SetPoint.exe [2008-10-05 805392]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 01:42 72208 c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=jcklcm.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck lsdelete\0autocheck lsdelete

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"e:\program files\Microsoft ActiveSync\rapimgr.exe"= e:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"e:\program files\Microsoft ActiveSync\wcescomm.exe"= e:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"e:\program files\Microsoft ActiveSync\WCESMgr.exe"= e:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"e:\\Program Files\\SiSoftware Sandra Lite XI.SP4a\\Win32\\RpcDataSrv.exe"=

"e:\\Program Files\\SiSoftware Sandra Lite XI.SP4a\\RpcSandraSrv.exe"=

"e:\\Jeux\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=

"e:\\Jeux\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=

"e:\\Jeux\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=

"e:\\Jeux\\Crysis\\Bin32\\Crysis.exe"=

"e:\\Jeux\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"e:\\Jeux\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\Program Files\\TRENDnet\\MFP Server\\Control Center.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"7303:UDP"= 7303:UDP:Control Center UDP Port

 

R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);c:\windows\system32\drivers\pe3ah4nc.sys [2007-05-18 64880]

R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:\windows\system32\drivers\ps6ah4nc.sys [2007-05-18 55160]

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2004-04-15 147456]

R1 GhPciScan;GhostPciScanner;e:\program files\Norton SystemWorks\Norton Ghost\GhPciScan.sys [2003-05-28 5632]

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2009-01-18 270888]

R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2007-09-21 38656]

R3 KUSBusByTCPMasterBus;Master Bus of Kernel USB Software Bus by TCP;c:\windows\system32\drivers\KUSBusByTCPMasterBus.sys [2008-08-26 69632]

R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [2009-01-18 65576]

R4 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;e:\program files\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-09-16 169312]

R4 NProtectService;Norton Unerase Protection;e:\progra~1\NORTON~1\NORTON~1\NPROTECT.EXE [2003-09-13 86016]

R4 SbPF.Launcher;SbPF.Launcher;e:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528]

R4 thdudf;TOSHIBA UDF2.5 Reader File System Driver;c:\windows\system32\drivers\thdudf.sys [2008-05-04 66944]

S3 gAGP440p;gAGP440p;\??\c:\docume~1\Nicolas\LOCALS~1\Temp\gAGP440p.sys --> c:\docume~1\Nicolas\LOCALS~1\Temp\gAGP440p.sys [?]

S3 KUSBusByTCP;KUSBusByTCP;c:\windows\system32\drivers\KUSBusByTCP.sys [2008-08-26 97536]

S3 SunkFilt6;Alcor Micro Corp - 6360;\??\c:\windows\System32\Drivers\sunkfilt6.sys --> c:\windows\System32\Drivers\sunkfilt6.sys [?]

S3 SunkFilt62;Alcor Micro Corp - 6362;c:\windows\system32\drivers\sunkfilt62.sys [2004-07-23 46536]

S4 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:\windows\system32\pr2ah4nc.exe svc --> c:\windows\system32\pr2ah4nc.exe svc [?]

S4 SPF4;Sunbelt Personal Firewall 4;e:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13d1e572-6f72-11dc-a198-001bfc8e847f}]

\Shell\AutoRun\command - G:\Autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a78c3ae9-f581-11dc-aa04-001bfc8e847f}]

\Shell\AutoRun\command - O:\InstallTomTomHOME.exe

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{D2E7D054-CC5F-4821-89BF-E3FF1D3961E7} - c:\windows\system32\pmnkIBTJ.dll

 

 

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - e:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Tout télécharger avec Free Download Manager - file://e:\program files\Free Download Manager\dlall.htm

IE: Télécharger avec Free Download Manager - file://e:\program files\Free Download Manager\dllink.htm

IE: Télécharger la sélection avec Free Download Manager - file://e:\program files\Free Download Manager\dlselected.htm

IE: Télécharger la vidéo avec Free Download Manager - file://e:\program files\Free Download Manager\dlfvideo.htm

Trusted Zone: secuser.com\www

TCP: {63E3B944-A80F-4828-BDC1-CC49290DEDD3} = 192.168.0.1

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\Klknivqj.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.clubic.com/

FF - plugin: e:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll

FF - plugin: e:\program files\Mozilla Firefox\plugins\NPuroamHost.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-21 22:53:45

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1177238915-113007714-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:58,50,13,eb,20,58,92,4c,12,36,0e,47,9d,35,1a,a9,be,aa,26,91,26,67,34,

7d,32,1a,86,a1,65,65,6e,1b,e3,45,03,cf,14,e7,11,fd,e6,8a,ae,a5,20,a4,26,6f,\

"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

 

[HKEY_USERS\S-1-5-21-1177238915-113007714-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:b8,3b,b4,e4,bf,48,20,d9,9c,1e,5d,af,cf,dc,28,4b,f7,49,c3,70,c3,

b2,7b,c9,df,b3,23,e1,18,87,6f,72,20,cf,78,83,70,a7,75,4c,b1,c9,b6,04,de,f2,\

"rkeysecu"=hex:46,ff,bb,81,33,3d,2c,e7,0f,bd,b1,88,db,8a,f9,e5

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1196)

c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll

c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll

.

Heure de fin: 2009-01-21 22:56:41

ComboFix-quarantined-files.txt 2009-01-21 21:56:36

 

Avant-CF: 8 279 961 600 octets libres

Après-CF: 8,158,552,064 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

 

229

[pear]

Bonjour,

 

 

 

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

c:\windows\system32\pr2ah4nc.exe svc

 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=-

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[buddy]

Bonsoir,

 

J'ai suivi votre procédure, mais je n'ai pas eu l'option : Type 1 to continue, or 2 to abort.

Il a fait un scan comme la première fois que je l'avais lancé, mon pc a redémarré à un moment, ComboFix a créé son rapport au redémarrage.

Je ne sais pas si cela est normal, mais je préfère vous en informer

 

Voici le rapport :

 

ComboFix 09-01-21.01 - Nicolas 2009-01-22 22:48:59.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1616 [GMT 1:00]

Lancé depuis: c:\documents and settings\Nicolas\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Nicolas\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

FW: Sunbelt Personal Firewall *disabled*

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\system32\pr2ah4nc.exe svc

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-22 au 2009-01-22 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-21 19:40 . 2009-01-21 19:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-01-21 19:25 . 2009-01-21 19:25 1,374 --a------ c:\windows\imsins.BAK

2009-01-21 19:24 . 2009-01-21 19:24 <REP> d--h----- c:\windows\$hf_mig$

2009-01-19 19:36 . 2009-01-19 19:36 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Malwarebytes

2009-01-19 19:36 . 2009-01-19 19:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-01-19 19:36 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-19 19:36 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-01-18 13:28 . 2009-01-21 20:36 <REP> d-------- C:\HijackThis

2009-01-18 10:20 . 2009-01-18 11:15 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-01-18 10:20 . 2009-01-19 17:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-01-18 00:55 . 2008-10-31 07:09 270,888 -ra------ c:\windows\system32\drivers\SbFw.sys

2009-01-18 00:55 . 2008-06-21 04:54 65,576 --a------ c:\windows\system32\drivers\SbFwIm.sys

2009-01-17 22:10 . 2009-01-17 22:10 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Babylon

2009-01-17 22:10 . 2009-01-17 22:10 <REP> d-------- c:\documents and settings\All Users\Application Data\Babylon

2009-01-12 19:17 . 2009-01-21 20:25 <REP> d-------- c:\documents and settings\Nicolas\Tracing

2009-01-12 19:12 . 2009-01-12 19:12 <REP> d-------- c:\program files\Microsoft

2009-01-12 19:11 . 2009-01-12 19:11 <REP> d-------- c:\program files\Windows Live SkyDrive

2009-01-12 19:06 . 2009-01-12 19:06 <REP> d-------- c:\program files\Fichiers communs\Windows Live

2009-01-09 19:05 . 2009-01-17 14:45 1,830,697 --a------ c:\windows\system32\drivers\fwdrv.err

2009-01-04 21:08 . 2009-01-04 21:08 <REP> d-------- c:\program files\Windows Media Connect 2

2008-12-23 17:26 . 2009-01-01 20:16 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Bioshock

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-22 21:45 --------- d-----w c:\documents and settings\Nicolas\Application Data\Free Download Manager

2009-01-17 23:04 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-01-17 23:03 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-01-12 18:12 --------- d-----w c:\program files\Windows Live

2009-01-04 22:01 --------- d--h--w c:\program files\InstallShield Installation Information

2008-12-23 13:35 --------- d-----w c:\program files\Fichiers communs\Maxtor

2008-12-19 10:28 --------- d-----w c:\program files\Microsoft Games for Windows - LIVE

2008-12-14 17:53 --------- d-----w c:\program files\MSBuild

2008-12-14 17:51 --------- d-----w c:\program files\Reference Assemblies

2008-12-13 12:57 --------- d-----w c:\program files\AGEIA Technologies

2008-12-13 12:51 219,648 ----a-w c:\windows\system32\uxtheme.dll

2008-12-03 23:14 --------- d-----w c:\documents and settings\Nicolas\Application Data\InstallShield

2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll

2008-12-01 11:14 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-11-29 15:40 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet

2008-11-29 15:39 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared

2008-11-29 15:39 --------- d-----w c:\program files\Fichiers communs\Adobe

2008-11-29 15:35 9,464 ------w c:\windows\system32\drivers\cdralw2k.sys

2008-11-29 15:35 9,336 ------w c:\windows\system32\drivers\cdr4_xp.sys

2008-11-29 15:35 43,528 ------w c:\windows\system32\drivers\PxHelp20.sys

2008-11-29 15:35 129,784 ------w c:\windows\system32\pxafs.dll

2008-11-29 15:35 118,520 ------w c:\windows\system32\pxinsi64.exe

2008-11-29 15:35 116,472 ------w c:\windows\system32\pxcpyi64.exe

2008-11-15 11:50 1,700,352 ----a-w c:\windows\system32\gdiplus.dll

2008-10-28 16:41 14,303,392 ----a-w c:\windows\system32\xlive.dll

2008-10-28 16:41 13,643,936 ----a-w c:\windows\system32\xlivefnt.dll

2007-12-29 12:50 103,736 ----a-w c:\documents and settings\Nicolas\Application Data\PnkBstrB.exe

.

 

((((((((((((((((((((((((((((( snapshot@2009-01-21_22.54.41,50 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-01-22 21:55:59 16,384 ----atw c:\windows\temp\Perflib_Perfdata_290.dat

+ 2009-01-22 21:56:45 16,384 ----atw c:\windows\temp\Perflib_Perfdata_880.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"H/PC Connection Agent"="e:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-04-04 81920]

"POP Peeper"="e:\program files\POP Peeper\POPPeeper.exe" [2008-07-18 1437696]

"Free Download Manager"="e:\program files\Free Download Manager\fdm.exe" [2008-05-20 2474031]

"DAEMON Tools Lite"="e:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

"LogitechVideoRepair"="e:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]

"LogitechVideoTray"="e:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="e:\program files\Gmail Notifier\gnotify.exe" [2005-07-15 479232]

"Sunkist2k"="c:\program files\Multimedia Card Reader\shwicon2k.exe" [2004-08-06 135168]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]

"Control Center"="e:\program files\TRENDnet\MFP Server\Control Center.exe" [2008-09-17 3179008]

"avgnt"="e:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\Nicolas\Menu D‚marrer\Programmes\D‚marrage\

i-Buddy Manager.lnk - e:\program files\i-Buddy Manager\i-BuddyManager.exe [2008-12-14 1019904]

Raccourci vers speedfan.lnk - e:\program files\SpeedFan\speedfan.exe [2007-09-17 2902528]

SyncBackSE.lnk - e:\program files\2BrightSparks\SyncBackSE\SyncBackSE.exe [2007-09-22 6281984]

 

c:\documents and settings\Nicolas\Menu D‚marrer\Programmes\D‚marrage\

i-Buddy Manager.lnk - e:\program files\i-Buddy Manager\i-BuddyManager.exe [2008-12-14 1019904]

Raccourci vers speedfan.lnk - e:\program files\SpeedFan\speedfan.exe [2007-09-17 2902528]

SyncBackSE.lnk - e:\program files\2BrightSparks\SyncBackSE\SyncBackSE.exe [2007-09-22 6281984]

 

c:\documents and settings\Nicolas\Menu D‚marrer\Programmes\D‚marrage\

i-Buddy Manager.lnk - e:\program files\i-Buddy Manager\i-BuddyManager.exe [2008-12-14 1019904]

Raccourci vers speedfan.lnk - e:\program files\SpeedFan\speedfan.exe [2007-09-17 2902528]

SyncBackSE.lnk - e:\program files\2BrightSparks\SyncBackSE\SyncBackSE.exe [2007-09-22 6281984]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Logitech SetPoint.lnk - e:\program files\Logitech\SetPoint\SetPoint.exe [2008-10-05 805392]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 01:42 72208 c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck lsdelete\0autocheck lsdelete

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"e:\program files\Microsoft ActiveSync\rapimgr.exe"= e:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"e:\program files\Microsoft ActiveSync\wcescomm.exe"= e:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"e:\program files\Microsoft ActiveSync\WCESMgr.exe"= e:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"e:\\Program Files\\SiSoftware Sandra Lite XI.SP4a\\Win32\\RpcDataSrv.exe"=

"e:\\Program Files\\SiSoftware Sandra Lite XI.SP4a\\RpcSandraSrv.exe"=

"e:\\Jeux\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=

"e:\\Jeux\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=

"e:\\Jeux\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=

"e:\\Jeux\\Crysis\\Bin32\\Crysis.exe"=

"e:\\Jeux\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"e:\\Jeux\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\Program Files\\TRENDnet\\MFP Server\\Control Center.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"7303:UDP"= 7303:UDP:Control Center UDP Port

 

R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);c:\windows\system32\drivers\pe3ah4nc.sys [2007-05-18 64880]

R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:\windows\system32\drivers\ps6ah4nc.sys [2007-05-18 55160]

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2004-04-15 147456]

R1 GhPciScan;GhostPciScanner;e:\program files\Norton SystemWorks\Norton Ghost\GhPciScan.sys [2003-05-28 5632]

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2009-01-18 270888]

R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]

R3 KUSBusByTCPMasterBus;Master Bus of Kernel USB Software Bus by TCP;c:\windows\system32\drivers\KUSBusByTCPMasterBus.sys [2008-08-26 69632]

R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [2009-01-18 65576]

R4 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;e:\program files\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-09-16 169312]

R4 NProtectService;Norton Unerase Protection;e:\progra~1\NORTON~1\NORTON~1\NPROTECT.EXE [2003-09-13 86016]

R4 SbPF.Launcher;SbPF.Launcher;e:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528]

R4 SPF4;Sunbelt Personal Firewall 4;e:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288]

R4 thdudf;TOSHIBA UDF2.5 Reader File System Driver;c:\windows\system32\drivers\thdudf.sys [2008-05-04 66944]

S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2007-09-21 38656]

S3 gAGP440p;gAGP440p;\??\c:\docume~1\Nicolas\LOCALS~1\Temp\gAGP440p.sys --> c:\docume~1\Nicolas\LOCALS~1\Temp\gAGP440p.sys [?]

S3 KUSBusByTCP;KUSBusByTCP;c:\windows\system32\drivers\KUSBusByTCP.sys [2008-08-26 97536]

S3 SunkFilt6;Alcor Micro Corp - 6360;\??\c:\windows\System32\Drivers\sunkfilt6.sys --> c:\windows\System32\Drivers\sunkfilt6.sys [?]

S3 SunkFilt62;Alcor Micro Corp - 6362;c:\windows\system32\drivers\sunkfilt62.sys [2004-07-23 46536]

S4 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:\windows\system32\pr2ah4nc.exe svc --> c:\windows\system32\pr2ah4nc.exe svc [?]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13d1e572-6f72-11dc-a198-001bfc8e847f}]

\Shell\AutoRun\command - G:\Autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a78c3ae9-f581-11dc-aa04-001bfc8e847f}]

\Shell\AutoRun\command - O:\InstallTomTomHOME.exe

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - e:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Tout télécharger avec Free Download Manager - file://e:\program files\Free Download Manager\dlall.htm

IE: Télécharger avec Free Download Manager - file://e:\program files\Free Download Manager\dllink.htm

IE: Télécharger la sélection avec Free Download Manager - file://e:\program files\Free Download Manager\dlselected.htm

IE: Télécharger la vidéo avec Free Download Manager - file://e:\program files\Free Download Manager\dlfvideo.htm

Trusted Zone: secuser.com\www

TCP: {63E3B944-A80F-4828-BDC1-CC49290DEDD3} = 192.168.0.1

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\Klknivqj.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.clubic.com/

FF - plugin: e:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll

FF - plugin: e:\program files\Mozilla Firefox\plugins\NPuroamHost.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-22 22:57:56

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1177238915-113007714-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:58,50,13,eb,20,58,92,4c,12,36,0e,47,9d,35,1a,a9,be,aa,26,91,26,67,34,

7d,32,1a,86,a1,65,65,6e,1b,e3,45,03,cf,14,e7,11,fd,e6,8a,ae,a5,20,a4,26,6f,\

"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

 

[HKEY_USERS\S-1-5-21-1177238915-113007714-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:b8,3b,b4,e4,bf,48,20,d9,9c,1e,5d,af,cf,dc,28,4b,f7,49,c3,70,c3,

b2,7b,c9,df,b3,23,e1,18,87,6f,72,20,cf,78,83,70,a7,75,4c,b1,c9,b6,04,de,f2,\

"rkeysecu"=hex:46,ff,bb,81,33,3d,2c,e7,0f,bd,b1,88,db,8a,f9,e5

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(748)

c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll

c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll

 

- - - - - - - > 'explorer.exe'(2360)

c:\windows\system32\ieframe.dll

.

------------------------ Autres processus actifs ------------------------

.

e:\program files\Lavasoft\Ad-Aware\aawservice.exe

e:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

e:\program files\a-squared Free\a2service.exe

e:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\windows\system32\rundll32.exe

e:\progra~1\MICROS~3\rapimgr.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

e:\progra~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.exe

e:\program files\Logitech\Video\FxSvr2.exe

c:\program files\Windows Media Player\wmpnetwk.exe

e:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\taskmgr.exe

.

**************************************************************************

.

Heure de fin: 2009-01-22 23:01:16 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-01-22 22:01:10

ComboFix2.txt 2009-01-21 21:56:44

 

Avant-CF: 8 077 365 248 octets libres

Après-CF: 8,077,733,888 octets libres

 

237

[pear]

Bonjour,

 

je ne vois pas d'infection.

 

Pour supprimer Combofix:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

[buddy]

Bonsoir,

 

Cela semble bon alors.

Merci pour votre aide en tout cas

 

Mon pc semble fonctionner correctement pour le moment.

 

Je vais garder Antivir car visiblement mon antivirus a laissé passer quelque chose, qu'en pensez vous?

[pear]

Je vais garder Antivir car visiblement mon antivirus a laissé passer quelque chose, qu'en pensez vous?

 

Très bon choix.

[buddy]

Très bon choix.

Merci pour tout