virus dans mon ordi

Mark · le 6 février 2009

- Tu fermes le fichier

- de l'Explorateur (clic droit sur le bouton "Démarrer", choisis "Explorer"), tu recherches le fichier qui est directement sur le lecteur C: (C:\ComboFix.txt) et tu le colles dans ta clé.

Je dois aller me coucher bientôt, alors je ne te répondrai peut-être pas tout de suite. Thanos sera de retour aussi, mais je ne sais pas à quelle heure.

Courage, et à bientôt

astarot · le 6 février 2009

voici le raport

ComboFix 09-02-04.01 - GONZALO 2009-02-06 1:54:47.2 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2039.1082 [GMT -5:00]

Lancé depuis: c:\users\GONZALO\Downloads\ComboFix.exe

Commutateurs utilisés :: j:\nouveau dossier\CFScript.txt

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\temp\1cb

c:\temp\1cb\syscheck.log

c:\users\GONZALO\AppData\Local\Microsoft\Windows\Temporary Internet Files\fbk.sts

c:\windows\system32\pac.txt

J:\autorun.inf

j:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213

j:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe

j:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-06 au 2009-02-06 ))))))))))))))))))))))))))))))))))))

.

2009-02-05 00:26 . 2009-02-05 00:26 <REP> d-------- c:\windows\System32\tov02

2009-02-05 00:26 . 2009-02-05 00:26 <REP> d-------- c:\windows\System32\h2i

2009-02-05 00:26 . 2009-02-05 00:26 <REP> d-------- c:\users\GONZALO\AppData\Roaming\cogad

2009-02-05 00:26 . 2009-02-05 00:26 <REP> d-------- c:\temp\sTMP3

2009-02-05 00:26 . 2009-02-06 01:54 <REP> d-------- C:\Temp

2009-02-04 22:04 . 2009-02-04 22:04 <REP> d-------- C:\_OTMoveIt

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\users\GONZALO\AppData\Roaming\Malwarebytes

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\users\All Users\Malwarebytes

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\programdata\Malwarebytes

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-02-04 15:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys

2009-02-04 15:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys

2009-02-04 12:32 . 2009-02-04 12:33 <REP> d-------- C:\rsit

2009-02-04 12:32 . 2009-02-04 18:47 <REP> d-------- c:\program files\trend micro

2009-02-04 10:31 . 2009-02-04 10:31 <REP> d-------- c:\program files\Panda Security

2009-02-04 10:31 . 2008-06-19 16:24 28,544 --a------ c:\windows\System32\drivers\pavboot.sys

2009-01-10 19:42 . 2009-01-10 19:43 <REP> d-------- C:\divx

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-06 06:01 --------- d-----w c:\users\GONZALO\AppData\Roaming\Skype

2009-02-05 05:02 --------- d-----w c:\users\GONZALO\AppData\Roaming\skypePM

2009-01-20 17:14 --------- d-----w c:\program files\Windows Mail

2009-01-11 00:45 --------- d-----w c:\users\GONZALO\AppData\Roaming\DivX

2009-01-11 00:33 --------- d-----w c:\program files\DivX

2009-01-10 20:10 --------- d-----w c:\program files\Java

2009-01-10 20:05 --------- d-----w c:\programdata\WinZip

2008-12-16 03:14 290,304 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-11 18:14 174 --sha-w c:\program files\desktop.ini

2008-08-09 22:20 87,608 ----a-w c:\users\GONZALO\AppData\Roaming\ezpinst.exe

2008-08-09 22:20 47,360 ----a-w c:\users\GONZALO\AppData\Roaming\pcouffin.sys

2008-07-07 22:12 56 ---ha-w c:\users\All Users\ezsidmv.dat

2008-07-07 22:12 56 ---ha-w c:\programdata\ezsidmv.dat

2008-03-27 00:48 130 ----a-w c:\users\GONZALO\AppData\Roaming\wklnhst.dat

2008-03-20 16:51 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

2008-03-20 16:51 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

2008-03-20 16:51 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

2008-03-10 16:00 22 --sha-w c:\windows\SMINST\HPCD.sys

.

((((((((((((((((((((((((((((( snapshot@2009-02-04_19.40.13,76 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-01-19 05:06:47 51,200 ----a-w c:\windows\inf\infpub.dat

+ 2009-02-06 06:34:41 51,200 ----a-w c:\windows\inf\infpub.dat

- 2009-01-19 05:06:40 86,016 ----a-w c:\windows\inf\infstrng.dat

+ 2009-02-06 06:34:40 86,016 ----a-w c:\windows\inf\infstrng.dat

- 2009-02-04 23:26:59 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2009-02-06 06:58:01 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

- 2009-02-04 23:26:54 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2009-02-06 06:58:03 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2009-01-31 11:26:52 32,768 ----a-w c:\windows\System32\tov02\tov022328.exe

- 2009-02-04 23:27:24 9,990 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2931431595-1955924753-1658288301-1000_UserData.bin

+ 2009-02-06 06:11:23 9,990 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2931431595-1955924753-1658288301-1000_UserData.bin

- 2009-02-04 23:27:23 61,190 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2009-02-06 06:11:23 61,238 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

- 2009-02-04 23:27:15 48,086 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2009-02-06 06:11:18 48,336 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}"= "c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL" [2008-06-11 66912]

[HKEY_CLASSES_ROOT\clsid\{0579b4b6-0293-4d73-b02d-5ebb0ba0f0a2}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]

2008-06-11 22:56 66912 --a------ c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-14 1232896]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"ares"="c:\program files\Ares\Ares.exe" [2008-02-20 963072]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-06-03 21718312]

"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2006-08-07 440000]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

"cogad"="c:\users\GONZALO\AppData\Roaming\cogad\cogad.exe" [2009-02-05 56832]

"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 c:\windows\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]

"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]

"SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-06 54936]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-25 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-25 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-25 133656]

"SSA.exe"="c:\program files\Bell\Sympatico Security Advisor\SSA.exe" [2007-03-27 2061816]

"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]

"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"RtHDVCpl"="RtHDVCpl.exe" [2007-10-25 c:\windows\RtHDVCpl.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2006-08-07 440000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]

WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-10-08 394856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{37089D57-7145-4ED8-A77F-1E022615A99D}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector

"{21A9F56D-0179-4B91-B8DD-E85D2CDCA50A}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"TCP Query User{F106BE44-31F4-4BEA-936E-821A86006213}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"UDP Query User{62861616-5F5C-4C2D-91BC-E1D50CE9E00E}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"{BF02E63F-25BE-46F8-9E63-2700C2988881}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove

"{73DCB53A-9A34-45DC-BDFC-AA084B0AD510}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove

"{2B283158-B05E-4407-A4CD-BF523A434C37}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{AF8ADB49-57C6-423C-80E7-7214D85FCF72}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"TCP Query User{1D177FF2-EA0E-42F6-A395-40A6F44C7B9D}c:\\program files\\ares\\ares.exe"= UDP:c:\program files\ares\ares.exe:Ares p2p for windows

"UDP Query User{7EB8C7D4-475D-41A0-9BF0-35F0F13BCEBB}c:\\program files\\ares\\ares.exe"= TCP:c:\program files\ares\ares.exe:Ares p2p for windows

"TCP Query User{0DF48368-279A-4039-84A8-98D9A4B8CD06}c:\\program files\\azureus\\azureus.exe"= UDP:c:\program files\azureus\azureus.exe:Azureus

"UDP Query User{FCB5E72C-7BE9-4D13-AEFB-D2FD20B2246F}c:\\program files\\azureus\\azureus.exe"= TCP:c:\program files\azureus\azureus.exe:Azureus

"{C9729EC4-D40D-40D3-95D7-71D0B94F2046}"= UDP:c:\program files\Microsoft LifeCam\LifeCam.exe:LifeCam.exe

"{76FE53C2-1D2F-442B-884D-C3E5570289BE}"= TCP:c:\program files\Microsoft LifeCam\LifeCam.exe:LifeCam.exe

"{BE9C5ABA-3430-45F9-85DA-2874C378D8F8}"= UDP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe

"{6B6CBB19-B317-4830-AF29-5A2F9A7BAA10}"= TCP:c:\program files\Microsoft LifeCam\LifeExp.exe:LifeExp.exe

"{4ADF55BD-D7B5-41E8-B968-1889C686B710}"= c:\program files\Skype\Phone\Skype.exe:Skype

"{501F92BA-ED61-4F88-A2F9-C28631B44C6A}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{17566D3A-B31E-4A80-9935-1BD4B5BCE603}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{640A7D83-FC46-492A-AE98-7F18B506BE22}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes

"{219E6AF6-A4DC-4E71-9CA6-421C996FA186}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

"TCP Query User{65B27F27-C66C-48E2-97F2-26F5C5EAB1F0}c:\\program files\\ares\\ares.exe"= UDP:c:\program files\ares\ares.exe:Ares p2p for windows

"UDP Query User{1A44F328-8C9F-4BCD-BE2A-7614D18BA958}c:\\program files\\ares\\ares.exe"= TCP:c:\program files\ares\ares.exe:Ares p2p for windows

"TCP Query User{818E8D5D-F4DE-4AFC-8DD7-2F7408860D48}c:\\program files\\microsoft lifecam\\lifecam.exe"= UDP:c:\program files\microsoft lifecam\lifecam.exe:LifeCam.exe

"UDP Query User{04C699B8-95AD-409E-8CFE-E0F02184AEDB}c:\\program files\\microsoft lifecam\\lifecam.exe"= TCP:c:\program files\microsoft lifecam\lifecam.exe:LifeCam.exe

"TCP Query User{80F5FF63-0699-40B7-B2D9-E5FA89B15398}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"UDP Query User{A172A210-DBCC-4CF8-8C0D-4AB79DD70DF3}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer

"{41CCF673-0E2B-47C6-8B7C-584C978CF0F0}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{A149FAC6-5223-4658-A7CF-9AE3EA69F69A}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

"{1A1C9457-9241-4C9C-9297-3F09636C20F0}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes

"{AF690ED8-7E9E-4224-BF70-6C1CFB6EF440}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]

"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R0 pavboot;pavboot;c:\windows\System32\drivers\pavboot.sys [2009-02-04 28544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Contenu du dossier 'Tâches planifiées'

2009-02-06 c:\windows\Tasks\User_Feed_Synchronization-{E146D179-D05D-43D3-B8EF-BF8284167C42}.job

- c:\windows\system32\msfeedssync.exe [2006-11-02 04:45]

2008-03-14 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-c00B4C00 - c:\users\GONZALO\AppData\Roaming\c00B4C00.mat

HKCU-Run-c00C002D - c:\users\GONZALO\AppData\Roaming\c00C002D.mat

HKCU-Run-c00C00FD - c:\users\GONZALO\AppData\Roaming\c00C00FD.mat

HKCU-Run-c00C0040 - c:\users\GONZALO\AppData\Roaming\c00C0040.mat

HKCU-Run-c00BAC00 - c:\users\GONZALO\AppData\Roaming\c00BAC00.mat

HKCU-Run-c00C00FA - c:\users\GONZALO\AppData\Roaming\c00C00FA.mat

HKCU-Run-c00C00C6 - c:\users\GONZALO\AppData\Roaming\c00C00C6.mat

HKCU-Run-c00C00BB - c:\users\GONZALO\AppData\Roaming\c00C00BB.mat

HKCU-Run-c00BE684 - c:\users\GONZALO\AppData\Roaming\c00BE684.mat

HKCU-Run-c00BC00F - c:\users\GONZALO\AppData\Roaming\c00BC00F.mat

HKCU-Run-c00C00F8 - c:\users\GONZALO\AppData\Roaming\c00C00F8.mat

HKCU-Run-c00C007A - c:\users\GONZALO\AppData\Roaming\c00C007A.mat

HKCU-Run-c00C0089 - c:\users\GONZALO\AppData\Roaming\c00C0089.mat

HKCU-Run-c00C001C - c:\users\GONZALO\AppData\Roaming\c00C001C.mat

HKCU-Run-c00BCC00 - c:\users\GONZALO\AppData\Roaming\c00BCC00.mat

HKCU-Run-c00A8C00 - c:\users\GONZALO\AppData\Roaming\c00A8C00.mat

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=81&bd=Presario&pf=desktop

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=81&bd=Presario&pf=desktop

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

TCP: {35CCE669-5ED1-4CF2-A39B-0B1815BF8DA4} = 192.168.2.1

FF - ProfilePath - c:\users\GONZALO\AppData\Roaming\Mozilla\Firefox\Profiles\93ljorkb.default\

FF - prefs.js: browser.search.defaulturl - hxxp://uk.search.yahoo.com/search?ei=UTF-8&fr=ytff-divxb&p=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://uk.yahoo.com/

FF - prefs.js: keyword.URL - hxxp://uk.search.yahoo.com/search?ei=UTF-8&fr=ytff-divxb&p=

FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-06 01:58:06

Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\CMI-CreateHive{274AB9BD-5778-42E7-84B9-863B8D8DF87A}\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\CMI-CreateHive{274AB9BD-5778-42E7-84B9-863B8D8DF87A}\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\CMI-CreateHive{274AB9BD-5778-42E7-84B9-863B8D8DF87A}\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\CMI-CreateHive{274AB9BD-5778-42E7-84B9-863B8D8DF87A}\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

[HKEY_USERS\.Default\CMI-CreateHive{274AB9BD-5778-42E7-84B9-863B8D8DF87A}\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]

@Denied: (2) (LocalSystem)

"Progid"="FirefoxHTML"

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\audiodg.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\program files\Microsoft LifeCam\MSCamS32.exe

c:\windows\System32\drivers\XAudio.exe

c:\windows\System32\WUDFHost.exe

c:\windows\System32\conime.exe

c:\windows\System32\schtasks.exe

c:\windows\System32\igfxsrvc.exe

c:\windows\ehome\ehmsas.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\program files\iPod\bin\iPodService.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2009-02-06 2:03:12 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-06 07:02:45

ComboFix2.txt 2009-02-05 00:52:13

Avant-CF: 264 188 780 544 octets libres

Après-CF: 264,579,403,776 octets libres

260 --- E O F --- 2009-02-02 17:20:14

astarot · le 6 février 2009

Merci beaucoup Thanos et Qc001

Moi aussi je vais dormir, mais on se parle demain, je vous remercie vraiment bcp, vous avez bcp de patience avec moi et mon probleme de virus

On se parle demain, pour finir tout et voir comment je peut arrenger le probleme avec internet

Merci encore un fois

Thanos · le 6 février 2009

salut

Hehe, je vois que QC001 a pris la relève

astarot, je t'ai créé un second script pour faire quelques suppressions >>

Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/73c1d6

Patiente une seconde: le téléchargement va se lancer automatiquement.

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de astarot : Vous ne devez en aucun cas l'utiliser sur votre pc!

On va tenter ceci pour rétablir ta connexion (je reprends les mots de QC001!) >>

Clique sur le bouton "Démarrer", puis tape cmd dans la barre de recherche. N'appuie pas sur Enter (ou Entrée) ;

Enfonce plutôt les touches CTRL + Shitf + Enter et clique ensuite sur "Continuer" dans la fenêtre qui apparaît.

Tu sélectionnes la ligne ci-dessous, avec ta souris, puis tu fais un clic droit dessus, choisis "Copier" et ensuite tu vas dans la fenêtre cmd, tu fais un clic droit n'importe où dans la fenêtre cmd et tu choisis "Coller"

Ça mettra la ligne automatiquement au bout de "C:\Windows\system32>", sans avoir à la taper. Ensuite tu appuies sur "Enter" >>

netsh winsock reset catalog

Redémarre ton pc et dis nous si ta connexcion est revenue: poste le rapport ComboFix.txt

astarot · le 6 février 2009

voici le raport

ComboFix 09-02-04.01 - GONZALO 2009-02-06 12:27:27.3 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2039.1255 [GMT -5:00]

Lancé depuis: c:\users\GONZALO\Downloads\ComboFix.exe

Commutateurs utilisés :: j:\nouveau dossier\CFScript.txt

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\AskSBar

c:\program files\AskSBar\bar\1.bin\A2FFXTBR.JAR

c:\program files\AskSBar\bar\1.bin\A2FFXTBR.MANIFEST

c:\program files\AskSBar\bar\1.bin\A2HIGHIN.EXE

c:\program files\AskSBar\bar\1.bin\A2NTSTBR.JAR

c:\program files\AskSBar\bar\1.bin\A2NTSTBR.MANIFEST

c:\program files\AskSBar\bar\1.bin\A2PLUGIN.DLL

c:\program files\AskSBar\bar\1.bin\ASKSBAR.DLL

c:\program files\AskSBar\bar\1.bin\NPASKSBR.DLL

c:\program files\AskSBar\bar\1.bin\V2RSSMNU.DLL

c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

c:\temp\sTMP3

c:\temp\sTMP3\cxI.log

c:\users\GONZALO\AppData\Local\Microsoft\Windows\Temporary Internet Files\fbk.sts

c:\users\GONZALO\AppData\Roaming\cogad

c:\users\GONZALO\AppData\Roaming\cogad\cogad.exe

c:\windows\System32\h2i

c:\windows\System32\tov02

c:\windows\System32\tov02\tov022328.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-06 au 2009-02-06 ))))))))))))))))))))))))))))))))))))

.

2009-02-05 00:26 . 2009-02-06 12:27 <REP> d-------- C:\Temp

2009-02-04 22:04 . 2009-02-04 22:04 <REP> d-------- C:\_OTMoveIt

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\users\GONZALO\AppData\Roaming\Malwarebytes

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\users\All Users\Malwarebytes

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\programdata\Malwarebytes

2009-02-04 15:51 . 2009-02-04 15:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-02-04 15:51 . 2009-01-14 16:11 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys

2009-02-04 15:51 . 2009-01-14 16:11 15,504 --a------ c:\windows\System32\drivers\mbam.sys

2009-02-04 12:32 . 2009-02-04 12:33 <REP> d-------- C:\rsit

2009-02-04 12:32 . 2009-02-04 18:47 <REP> d-------- c:\program files\trend micro

2009-02-04 10:31 . 2009-02-04 10:31 <REP> d-------- c:\program files\Panda Security

2009-02-04 10:31 . 2008-06-19 16:24 28,544 --a------ c:\windows\System32\drivers\pavboot.sys

2009-01-10 19:42 . 2009-01-10 19:43 <REP> d-------- C:\divx

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-06 06:01 --------- d-----w c:\users\GONZALO\AppData\Roaming\Skype

2009-02-05 05:02 --------- d-----w c:\users\GONZALO\AppData\Roaming\skypePM

2009-01-20 17:14 --------- d-----w c:\program files\Windows Mail

2009-01-11 00:45 --------- d-----w c:\users\GONZALO\AppData\Roaming\DivX

2009-01-11 00:33 --------- d-----w c:\program files\DivX

2009-01-10 20:10 --------- d-----w c:\program files\Java

2009-01-10 20:05 --------- d-----w c:\programdata\WinZip

2008-12-16 03:14 290,304 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-11 18:14 174 --sha-w c:\program files\desktop.ini

2008-12-11 00:33 86,016 ----a-w c:\windows\System32\dpl100.dll

2008-12-11 00:33 200,704 ----a-w c:\windows\System32\dtu100.dll

2008-12-09 02:28 593,920 ----a-w c:\windows\System32\dpuGUI11.dll

2008-12-09 02:28 57,344 ----a-w c:\windows\System32\dpv11.dll

2008-12-09 02:28 344,064 ----a-w c:\windows\System32\dpus11.dll

2008-12-09 02:28 294,912 ----a-w c:\windows\System32\dpu11.dll

2008-11-06 16:37 524,288 ----a-w c:\windows\System32\DivXsm.exe

2008-11-06 16:37 3,596,288 ----a-w c:\windows\System32\qt-dx331.dll

2008-11-06 16:35 200,704 ----a-w c:\windows\System32\ssldivx.dll

2008-11-06 16:35 1,044,480 ----a-w c:\windows\System32\libdivx.dll

2008-11-06 16:33 823,296 ----a-w c:\windows\System32\divx_xx0c.dll

2008-11-06 16:33 823,296 ----a-w c:\windows\System32\divx_xx07.dll

2008-11-06 16:33 815,104 ----a-w c:\windows\System32\divx_xx0a.dll

2008-11-06 16:33 802,816 ----a-w c:\windows\System32\divx_xx11.dll

2008-11-06 16:33 684,032 ----a-w c:\windows\System32\DivX.dll

2008-11-06 16:33 12,288 ----a-w c:\windows\System32\DivXWMPExtType.dll

2008-08-09 22:20 87,608 ----a-w c:\users\GONZALO\AppData\Roaming\ezpinst.exe

2008-08-09 22:20 47,360 ----a-w c:\users\GONZALO\AppData\Roaming\pcouffin.sys

2008-07-07 22:12 56 ---ha-w c:\users\All Users\ezsidmv.dat

2008-07-07 22:12 56 ---ha-w c:\programdata\ezsidmv.dat

2008-03-27 00:48 130 ----a-w c:\users\GONZALO\AppData\Roaming\wklnhst.dat

2008-03-20 16:51 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

2008-03-20 16:51 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

2008-03-20 16:51 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

2008-03-10 16:00 22 --sha-w c:\windows\SMINST\HPCD.sys

.

((((((((((((((((((((((((((((( snapshot@2009-02-04_19.40.13,76 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-01-19 05:06:47 51,200 ----a-w c:\windows\inf\infpub.dat

+ 2009-02-06 06:34:41 51,200 ----a-w c:\windows\inf\infpub.dat

- 2009-01-19 05:06:40 86,016 ----a-w c:\windows\inf\infstrng.dat

+ 2009-02-06 06:34:40 86,016 ----a-w c:\windows\inf\infstrng.dat

- 2009-02-04 23:25:25 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2009-02-06 17:20:38 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2009-02-04 23:25:25 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2009-02-06 17:20:38 2,048 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2009-02-04 23:26:59 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2009-02-06 17:22:09 262,144 --sha-w c:\windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2009-02-06 17:22:09 262,144 ---ha-w c:\windows\ServiceProfiles\LocalService\ntuser.dat.LOG1

- 2009-02-04 23:26:54 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2009-02-06 17:22:14 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2009-02-06 17:22:14 262,144 ---ha-w c:\windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1

- 2009-02-04 23:27:24 9,990 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2931431595-1955924753-1658288301-1000_UserData.bin

+ 2009-02-06 17:22:27 10,118 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2931431595-1955924753-1658288301-1000_UserData.bin

- 2009-02-04 23:27:23 61,190 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2009-02-06 17:22:27 61,278 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

- 2009-02-04 23:27:15 48,086 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2009-02-06 17:22:26 48,854 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin