[Résolu] Décalage dans la fenêtre de Firefox

[Falkra]

Mais je vais te les virer moi même les fichiers, pas de souci, tout ce qu'il te faut c'est modifier le fichier prefs.js pour le moment.

J'ai ton fichier, impeccable. Un grand merci pour ça.

 

Prêt pour la suite ?

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[Larsouille]

Re, pas d'quoi pour le .rar, content de te faire plaisir avec 2 beaux fichiers infectés

 

Voici le log ComboFix:

 

ComboFix 09-02-08.02 - Larsouille 2009-02-09 21:20:10.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1022.447 [GMT 1:00]

Lancé depuis: c:\documents and settings\Larsouille\Bureau\ComboFix.exe

* Un nouveau point de restauration a été créé

* Resident AV is active

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\Mozilla Firefox\components\bmdjlsiqbck.dll

c:\windows\system32\bmdjlsiqbck.dll

c:\windows\system32\iyvpbsmszjc.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-09 au 2009-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-09 00:24 . 2009-02-09 00:24 <REP> d-------- c:\program files\PC Inspector File Recovery

2009-02-09 00:24 . 2002-02-18 18:40 6,200 --a------ c:\windows\system32\INT13EXT.VXD

2009-02-08 22:23 . 2009-02-08 22:23 <REP> d-------- C:\rsit

2009-02-08 10:48 . 2009-02-08 10:48 <REP> d-------- c:\documents and settings\Larsouille\RocketDock

2009-02-08 08:31 . 2009-02-08 08:31 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-08 08:31 . 2009-02-08 08:31 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-08 03:38 . 2000-01-31 13:00 96,256 --a------ c:\windows\system32\bfc42l.dll

2009-02-08 03:38 . 2009-02-08 03:38 86,809 --a------ c:\windows\system32\ebd22e5f-88fe-3b29-9c46-deda3c5df6a4.exe

2009-02-08 03:38 . 2009-02-08 03:38 69,170 --a------ c:\windows\system32\bmdjlsiqbck.dll-uninst.exe

2009-02-08 03:38 . 2009-02-08 03:38 48,359 --a------ c:\windows\system32\nnsfhcenhg.exe

2009-02-08 00:34 . 2009-02-08 00:34 <REP> d-------- c:\program files\Sierra

2009-02-07 05:34 . 2009-02-07 05:34 <REP> d-------- c:\program files\WBGames

2009-02-07 05:06 . 2009-02-07 05:12 <REP> d-------- c:\documents and settings\Larsouille\Application Data\vlc

2009-02-05 19:43 . 2009-02-05 19:43 917,504 --a------ c:\windows\system32\FLASH.OCX

2009-02-05 10:08 . 2009-02-05 10:08 699,392 --a------ c:\windows\system32\nsoF7.dll

2009-02-04 20:56 . 2009-02-04 21:44 <REP> d-------- c:\program files\Teamspeak2_RC2

2009-02-01 17:41 . 2008-04-14 04:34 20,992 --a------ c:\windows\system32\dshowext.ax

2009-02-01 17:41 . 2008-04-14 04:34 20,992 --a------ c:\windows\system32\dllcache\dshowext.ax

2009-01-29 21:51 . 2001-08-17 20:12 19,017 --a------ c:\windows\system32\drivers\RTL8029.sys

2009-01-29 21:51 . 2001-08-17 20:12 19,017 --a------ c:\windows\system32\dllcache\rtl8029.sys

2009-01-29 13:24 . 2009-01-29 13:24 <REP> d-------- c:\documents and settings\Larsouille\Application Data\Canneverbe_Limited

2009-01-29 01:00 . 2009-01-29 01:26 <REP> d-------- c:\documents and settings\Larsouille\Application Data\Download Manager

2009-01-25 03:27 . 2009-01-25 03:27 <REP> d-------- c:\windows\65F1CF6331E0450B96F34A88BE7361A6.TMP

2009-01-18 21:52 . 2009-02-08 10:55 <REP> d-------- c:\documents and settings\Larsouille\Tracing

2009-01-16 22:16 . 2009-02-08 04:45 137,688 --a------ c:\windows\system32\drivers\PnkBstrK.sys

2009-01-16 22:15 . 2009-01-16 22:15 674,600 --a------ c:\windows\system32\pb.exe

2009-01-16 22:15 . 2009-02-08 04:45 202,040 --a------ c:\windows\system32\PnkBstrB.exe

2009-01-16 22:15 . 2009-01-16 22:15 66,872 --a------ c:\windows\system32\PnkBstrA.exe

2009-01-15 09:37 . 2009-01-15 09:37 42,320 --a------ c:\windows\system32\xfcodec.dll

2009-01-09 17:26 . 2009-02-07 04:30 <REP> d-------- c:\windows\system32\Adobe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-09 20:17 --------- d-----w c:\documents and settings\All Users\Application Data\NOS

2009-02-09 18:41 --------- d-----w c:\program files\NOS

2009-02-09 10:18 --------- d-----w c:\program files\Google

2009-02-08 23:39 --------- d-----w c:\documents and settings\Larsouille\Application Data\Xfire

2009-02-08 23:24 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-08 22:01 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-02-08 21:18 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-02-08 21:18 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-08 07:31 --------- d-----w c:\program files\Java

2009-02-08 03:15 --------- d-----w c:\program files\Trend Micro

2009-02-08 02:43 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-02-07 07:17 --------- d-----w c:\documents and settings\Larsouille\Application Data\dvdcss

2009-02-06 19:59 --------- d-----w c:\program files\Xfire

2009-01-17 22:18 --------- d-----w c:\program files\ModernRcon

2009-01-17 22:06 22,328 ----a-w c:\documents and settings\Larsouille\Application Data\PnkBstrK.sys

2009-01-14 21:46 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-12 07:00 --------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-01-09 01:17 --------- d-----w c:\program files\CCleaner

2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2009-01-02 17:53 --------- d-----w c:\program files\Frets on Fire

2009-01-02 17:46 --------- d-----w c:\program files\CDBurnerXP

2008-12-30 00:36 682,280 ----a-w c:\windows\system32\pbsvc.exe

2008-12-30 00:21 --------- d-----w c:\program files\Activision

2008-12-25 20:06 --------- d-----w c:\documents and settings\Larsouille\Application Data\fretsonfire

2008-12-25 10:41 --------- d-----w c:\program files\Bonjour

2008-12-17 17:10 --------- d-----w c:\program files\Microsoft

2008-12-13 06:37 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll

2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe

2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys

2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll

2008-11-12 09:10 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2009-02-05 09:08 702,464 ----a-w c:\program files\mozilla firefox\components\35d0be18-32db-a26d-915e-fb48eb91da71.dll

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

2008-08-23 21:09 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"RocketDock"="c:\documents and settings\Larsouille\RocketDock\RocketDock.exe" [2007-09-02 495616]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]

"PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]

"EPSON Stylus CX6600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE" [2004-03-01 98304]

"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 98304]

"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"WinSys2"="c:\windows\system32\winsys2.exe" [2008-07-03 208896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-08 136600]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-04-13 c:\windows\RTHDCPL.EXE]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.XFR1"= xfcodec.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--a------ 2007-03-16 11:45 63712 c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 01:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CnxDslTaskBar]

-ra------ 2005-05-20 15:32 278528 c:\program files\ZTE Corporation\ZXDSL852\CnxDslTb.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-11-20 13:20 290088 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2008-04-14 03:34 1695232 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2008-05-16 19:31 86016 c:\windows\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]

--a------ 2007-09-25 19:10 102400 c:\program files\Orange\SessionManager\SessionManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystrayORAHSS]

--a------ 2007-09-25 20:08 94208 c:\program files\Orange\Systray\SystrayApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2005-04-12 09:10 65536 c:\windows\ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2008-05-16 19:31 1630208 c:\windows\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"aawservice"=2 (0x2)

"iPod Service"=3 (0x3)

"gusvc"=3 (0x3)

"Fax"=3 (0x3)

"Bonjour Service"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\NetMeeting\\conf.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

"c:\\Program Files\\Teamspeak2_RC2\\server_windows.exe"=

"c:\\Program Files\\Teamspeak2_RC2 CLIENT\\TeamSpeak.exe"=

"c:\\Program Files\\Xfire\\xfire.exe"=

"c:\\Program Files\\Metin2_France\\metin2.bin"=

"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Program Files\\WBGames\\Monolith Productions\\F.E.A.R. 2 SP Demo\\FEAR2SPDemo.exe"=

"c:\\Program Files\\Sierra\\FEAR\\FEAR.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"10231:TCP"= 10231:TCP:BitComet 10231 TCP

"10231:UDP"= 10231:UDP:BitComet 10231 UDP

"45191:TCP"= 45191:TCP:Utorrent

"45191:UDP"= 45191:UDP:Utorrent

"8767:TCP"= 8767:TCP:TS Serveur

"8767:UDP"= 8767:UDP:TS Serveur

 

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [2007-10-30 59904]

R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2008-11-22 23064]

R3 WN5401;Liteon Wireless LAN PCI 802.11 a/b/g adapter WN5401A;c:\windows\system32\drivers\wn5401.sys [2005-01-02 449920]

S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [2007-10-28 131072]

S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [2007-10-28 618112]

S3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;c:\windows\system32\drivers\CnxTgNW.sys [2007-10-28 52736]

S3 DCamUSBSTK02H;STK02H Camera;c:\windows\system32\DRIVERS\STK02HW2.sys --> c:\windows\system32\DRIVERS\STK02HW2.sys [?]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 MSIGreenPower;MSIGreenPower;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\NTGLM7X.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\NTGLM7X.sys [?]

S3 MSIGreenPowerRushTop;MSIGreenPowerRushTop;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\RushTop.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\RushTop.sys [?]

S3 RushTopDevice_J;RushTopDevice_J;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\RushJ.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\RushJ.sys [?]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S3 XDva090;XDva090;\??\c:\windows\system32\XDva090.sys --> c:\windows\system32\XDva090.sys [?]

S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - ENTDRV51

*NewlyCreated* - IPOD_SERVICE

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b71ed76-dcb1-11dc-b4e3-00d0d08d71b9}]

\Shell\AutoRun\command - wd_windows_tools\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfdf3d52-a668-11dc-b468-00d0d08d71b9}]

\Shell\AutoRun\command - L:\CarryItEasy.exe /AUTORUN

\Shell\configure\command - L:\CarryItEasy.exe

\Shell\install\command - L:\CarryItEasy.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-25 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-02-09 c:\windows\Tasks\Symantec NetDetect.job

- c:\program files\Symantec\LiveUpdate\NDetect.exe []

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-AtiExtEvent - (no file)

MSConfigStartUp-msnmsgr - c:\program files\MSN Messenger\msnmsgr.exe

MSConfigStartUp-Orange Desktop Search - c:\program files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe

MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe

MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre1.6.0_07\bin\jusched.exe

 

 

.

------- Examen supplémentaire -------

.

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=presario&pf=desktop

uStart Page = hxxp://www.wanadoo.fr

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=presario&pf=desktop

mWindow Title =

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=presario&pf=desktop

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: orange.fr\www

TCP: {9207F01E-8F1C-4922-86E1-573BA9522D17} = 80.10.246.2,80.10.246.129

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Larsouille\Application Data\Mozilla\Firefox\Profiles\vk8jcjeq.Lars\

FF - prefs.js: browser.search.defaulturl - hxxp://www6.yoog.com/search.php?q=

FF - prefs.js: browser.search.selectedEngine - Yoog Search

FF - prefs.js: keyword.URL - hxxp://www6.yoog.com/search.php?q=

FF - component: c:\program files\Mozilla Firefox\components\35d0be18-32db-a26d-915e-fb48eb91da71.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.proxy.type - 0

FF - user.js: browser.shell.checkDefaultBrowser - false

FF - user.js: google.toolbar.linkdoctor.enabled - false

FF - user.js: browser.search.defaultenginename - Yoog Search

FF - user.js: browser.search.defaulturl - hxxp://www6.yoog.com/search.php?q=

FF - user.js: browser.search.selectedEngine - Yoog Search

FF - user.js: keyword.URL - hxxp://www6.yoog.com/search.php?q=

FF - user.js: keyword.enabled - true

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-09 21:23:06

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1931622177-1426763710-2230002237-1010\Software\SecuROM\License information*]

"datasecu"=hex:d2,c2,e1,60,f7,e5,ce,75,d3,24,6d,aa,ff,81,64,9a,ca,e3,50,8a,a6,

9c,0f,7c,02,c6,3d,de,04,08,41,ad,58,6a,96,20,02,4e,29,88,bd,cb,6f,89,26,c5,\

"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(848)

c:\windows\system32\EntApi.dll

.

Heure de fin: 2009-02-09 21:25:34

ComboFix-quarantined-files.txt 2009-02-09 20:25:31

 

Avant-CF: 127 752 302 592 octets libres

Après-CF: 127,749,591,040 octets libres

 

Current=4 Default=4 Failed=2 LastKnownGood=3 Sets=,1,2,3,4

268 --- E O F --- 2009-01-14 21:46:39

 

 

Un second Log "catchme.log" est apparu sur le bureau, disant qu'il a scanné les fichiers cachés et qu'il y a aucune menace trouvé, je pense que cela t'es inutile...

[Falkra]

Oki, nickel pour le fichier. Merci.

Je t'en demanderai peut-être d'autres plus tard.

 

On va faire plusieurs choses ensuite, et tenter d'en régler le maximum.

Il faut d'abord shooter yoog.

 

Branche tes périphériques amovibles avant ce qui suit (clés usb, disques durs externes, etc).

 

Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

Télécharge le fichier CFscript.Txt à cette adresse :

http://senduit.com/d4516f

 

• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

[Larsouille]

Re, re ,re, j'ai une question: c'est vous/toi (j'suis fan du voutoiment...) qui les fait les scripts?

 

voila le Log:

 

ComboFix 09-02-08.02 - Larsouille 2009-02-09 21:58:42.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1022.526 [GMT 1:00]

Lancé depuis: c:\documents and settings\Larsouille\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Larsouille\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

* Resident AV is active

 

 

FILE ::

c:\program files\Mozilla Firefox\components\35d0be18-32db-a26d-915e-fb48eb91da71.dll

c:\windows\65F1CF6331E0450B96F34A88BE7361A6.TMP

c:\windows\system32\bfc42l.dll

c:\windows\system32\bmdjlsiqbck.dll-uninst.exe

c:\windows\system32\ebd22e5f-88fe-3b29-9c46-deda3c5df6a4.exe

c:\windows\system32\nnsfhcenhg.exe

c:\windows\system32\nsoF7.dll

c:\windows\system32\pb.exe

c:\windows\Tasks\Symantec NetDetect.job

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\program files\Mozilla Firefox\components\35d0be18-32db-a26d-915e-fb48eb91da71.dll

c:\windows\system32\bfc42l.dll

c:\windows\system32\bmdjlsiqbck.dll-uninst.exe

c:\windows\system32\ebd22e5f-88fe-3b29-9c46-deda3c5df6a4.exe

c:\windows\system32\nnsfhcenhg.exe

c:\windows\system32\nsoF7.dll

c:\windows\system32\pb.exe

c:\windows\Tasks\Symantec NetDetect.job

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SETUPNTGLM7X

-------\Legacy_XDVA090

-------\Legacy_XDVA190

-------\Service_SetupNTGLM7X

-------\Service_XDva090

-------\Service_XDva190

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-09 au 2009-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-09 00:24 . 2009-02-09 00:24 <REP> d-------- c:\program files\PC Inspector File Recovery

2009-02-09 00:24 . 2002-02-18 18:40 6,200 --a------ c:\windows\system32\INT13EXT.VXD

2009-02-08 22:23 . 2009-02-08 22:23 <REP> d-------- C:\rsit

2009-02-08 08:31 . 2009-02-08 08:31 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-08 08:31 . 2009-02-08 08:31 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-08 00:34 . 2009-02-08 00:34 <REP> d-------- c:\program files\Sierra

2009-02-07 05:34 . 2009-02-07 05:34 <REP> d-------- c:\program files\WBGames

2009-02-07 05:06 . 2009-02-07 05:12 <REP> d-------- c:\documents and settings\Larsouille\Application Data\vlc

2009-02-05 19:43 . 2009-02-05 19:43 917,504 --a------ c:\windows\system32\FLASH.OCX

2009-02-04 20:56 . 2009-02-04 21:44 <REP> d-------- c:\program files\Teamspeak2_RC2

2009-02-01 17:41 . 2008-04-14 04:34 20,992 --a------ c:\windows\system32\dshowext.ax

2009-02-01 17:41 . 2008-04-14 04:34 20,992 --a------ c:\windows\system32\dllcache\dshowext.ax

2009-01-29 21:51 . 2001-08-17 20:12 19,017 --a------ c:\windows\system32\drivers\RTL8029.sys

2009-01-29 21:51 . 2001-08-17 20:12 19,017 --a------ c:\windows\system32\dllcache\rtl8029.sys

2009-01-29 13:24 . 2009-01-29 13:24 <REP> d-------- c:\documents and settings\Larsouille\Application Data\Canneverbe_Limited

2009-01-29 01:00 . 2009-01-29 01:26 <REP> d-------- c:\documents and settings\Larsouille\Application Data\Download Manager

2009-01-25 03:27 . 2009-01-25 03:27 <REP> d-------- c:\windows\65F1CF6331E0450B96F34A88BE7361A6.TMP

2009-01-18 21:52 . 2009-02-08 10:55 <REP> d-------- c:\documents and settings\Larsouille\Tracing

2009-01-16 22:16 . 2009-02-08 04:45 137,688 --a------ c:\windows\system32\drivers\PnkBstrK.sys

2009-01-16 22:15 . 2009-02-08 04:45 202,040 --a------ c:\windows\system32\PnkBstrB.exe

2009-01-16 22:15 . 2009-01-16 22:15 66,872 --a------ c:\windows\system32\PnkBstrA.exe

2009-01-15 09:37 . 2009-01-15 09:37 42,320 --a------ c:\windows\system32\xfcodec.dll

2009-01-09 17:26 . 2009-02-07 04:30 <REP> d-------- c:\windows\system32\Adobe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-09 20:17 --------- d-----w c:\documents and settings\All Users\Application Data\NOS

2009-02-09 18:41 --------- d-----w c:\program files\NOS

2009-02-09 10:18 --------- d-----w c:\program files\Google

2009-02-08 23:39 --------- d-----w c:\documents and settings\Larsouille\Application Data\Xfire

2009-02-08 23:24 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-08 22:01 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-02-08 21:18 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-02-08 21:18 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-08 07:31 --------- d-----w c:\program files\Java

2009-02-08 03:15 --------- d-----w c:\program files\Trend Micro

2009-02-08 02:43 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-02-07 07:17 --------- d-----w c:\documents and settings\Larsouille\Application Data\dvdcss

2009-02-06 19:59 --------- d-----w c:\program files\Xfire

2009-01-17 22:18 --------- d-----w c:\program files\ModernRcon

2009-01-17 22:06 22,328 ----a-w c:\documents and settings\Larsouille\Application Data\PnkBstrK.sys

2009-01-14 21:46 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-12 07:00 --------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-01-09 01:17 --------- d-----w c:\program files\CCleaner

2009-01-02 17:53 --------- d-----w c:\program files\Frets on Fire

2009-01-02 17:46 --------- d-----w c:\program files\CDBurnerXP

2008-12-30 00:21 --------- d-----w c:\program files\Activision

2008-12-25 20:06 --------- d-----w c:\documents and settings\Larsouille\Application Data\fretsonfire

2008-12-25 10:41 --------- d-----w c:\program files\Bonjour

2008-12-17 17:10 --------- d-----w c:\program files\Microsoft

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

2008-08-23 21:09 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\INT13EXT.VXD -- Not a PE file.

MD5: e1d9b162740b31caee817740341eff09

 

 

((((((((((((((((((((((((((((( SnapShot@2009-02-09_21.24.02,59 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\erdnt\subs\ERDNT.EXE

+ 2009-02-09 21:02:52 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_1d0.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]

"PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]

"EPSON Stylus CX6600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE" [2004-03-01 98304]

"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 98304]

"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"WinSys2"="c:\windows\system32\winsys2.exe" [2008-07-03 208896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-08 136600]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-04-13 c:\windows\RTHDCPL.EXE]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.XFR1"= xfcodec.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--a------ 2007-03-16 11:45 63712 c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 01:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CnxDslTaskBar]

-ra------ 2005-05-20 15:32 278528 c:\program files\ZTE Corporation\ZXDSL852\CnxDslTb.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-11-20 13:20 290088 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2008-04-14 03:34 1695232 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2008-05-16 19:31 86016 c:\windows\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]

--a------ 2007-09-25 19:10 102400 c:\program files\Orange\SessionManager\SessionManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystrayORAHSS]

--a------ 2007-09-25 20:08 94208 c:\program files\Orange\Systray\SystrayApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2005-04-12 09:10 65536 c:\windows\ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2008-05-16 19:31 1630208 c:\windows\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"aawservice"=2 (0x2)

"iPod Service"=3 (0x3)

"gusvc"=3 (0x3)

"Fax"=3 (0x3)

"Bonjour Service"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\NetMeeting\\conf.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

"c:\\Program Files\\Teamspeak2_RC2\\server_windows.exe"=

"c:\\Program Files\\Teamspeak2_RC2 CLIENT\\TeamSpeak.exe"=

"c:\\Program Files\\Xfire\\xfire.exe"=

"c:\\Program Files\\Metin2_France\\metin2.bin"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Program Files\\WBGames\\Monolith Productions\\F.E.A.R. 2 SP Demo\\FEAR2SPDemo.exe"=

"c:\\Program Files\\Sierra\\FEAR\\FEAR.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"10231:TCP"= 10231:TCP:BitComet 10231 TCP

"10231:UDP"= 10231:UDP:BitComet 10231 UDP

"45191:TCP"= 45191:TCP:Utorrent

"45191:UDP"= 45191:UDP:Utorrent

"8767:TCP"= 8767:TCP:TS Serveur

"8767:UDP"= 8767:UDP:TS Serveur

 

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [2007-10-30 59904]

R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2008-11-22 23064]

R3 WN5401;Liteon Wireless LAN PCI 802.11 a/b/g adapter WN5401A;c:\windows\system32\drivers\wn5401.sys [2005-01-02 449920]

S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [2007-10-28 131072]

S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [2007-10-28 618112]

S3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;c:\windows\system32\drivers\CnxTgNW.sys [2007-10-28 52736]

S3 DCamUSBSTK02H;STK02H Camera;c:\windows\system32\DRIVERS\STK02HW2.sys --> c:\windows\system32\DRIVERS\STK02HW2.sys [?]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 MSIGreenPower;MSIGreenPower;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\NTGLM7X.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\NTGLM7X.sys [?]

S3 MSIGreenPowerRushTop;MSIGreenPowerRushTop;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\RushTop.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\RushTop.sys [?]

S3 RushTopDevice_J;RushTopDevice_J;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\RushJ.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\RushJ.sys [?]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - ENTDRV51

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b71ed76-dcb1-11dc-b4e3-00d0d08d71b9}]

\Shell\AutoRun\command - wd_windows_tools\setup.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-25 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-RocketDock - c:\documents and settings\Larsouille\RocketDock\RocketDock.exe

 

 

.

------- Examen supplémentaire -------

.

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=presario&pf=desktop

uStart Page = hxxp://www.wanadoo.fr

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=presario&pf=desktop

mWindow Title =

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=presario&pf=desktop

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: orange.fr\www

TCP: {9207F01E-8F1C-4922-86E1-573BA9522D17} = 80.10.246.2,80.10.246.129

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Larsouille\Application Data\Mozilla\Firefox\Profiles\vk8jcjeq.Lars\

FF - prefs.js: browser.search.defaulturl - hxxp://www6.yoog.com/search.php?q=

FF - prefs.js: browser.search.selectedEngine - Yoog Search

FF - prefs.js: keyword.URL - hxxp://www6.yoog.com/search.php?q=

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.proxy.type - 0

FF - user.js: browser.shell.checkDefaultBrowser - false

FF - user.js: google.toolbar.linkdoctor.enabled - false

FF - user.js: browser.search.defaultenginename - Yoog Search

FF - user.js: browser.search.defaulturl - hxxp://www6.yoog.com/search.php?q=

FF - user.js: browser.search.selectedEngine - Yoog Search

FF - user.js: keyword.URL - hxxp://www6.yoog.com/search.php?q=

FF - user.js: keyword.enabled - true

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-09 22:03:35

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1931622177-1426763710-2230002237-1010\Software\SecuROM\License information*]

"datasecu"=hex:d2,c2,e1,60,f7,e5,ce,75,d3,24,6d,aa,ff,81,64,9a,ca,e3,50,8a,a6,

9c,0f,7c,02,c6,3d,de,04,08,41,ad,58,6a,96,20,02,4e,29,88,bd,cb,6f,89,26,c5,\

"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(852)

c:\windows\system32\EntApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\windows\system32\FTRTSVC.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Network Associates\Common Framework\FrameworkService.exe

c:\program files\Network Associates\VirusScan\mcshield.exe

c:\program files\Network Associates\VirusScan\vstskmgr.exe

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\windows\system32\rundll32.exe

c:\program files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Heure de fin: 2009-02-09 22:08:28 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-02-09 21:08:22

ComboFix2.txt 2009-02-09 20:25:36

 

Avant-CF: 134 703 099 904 octets libres

Après-CF: 134,587,793,408 octets libres

 

Current=4 Default=4 Failed=2 LastKnownGood=3 Sets=,1,2,3,4

287 --- E O F --- 2009-01-14 21:46:39

[Falkra]

Tu peux me tutoyer, c'est l'usage courant sur les forums.

Voutoyer, si tu préfères lol.

 

C'est nous qui faisons ces scripts, sur mesure, chacun est unique, valable pour une seule machine.

 

On a avancé, mais pas fini.

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\windows\system32\INT13EXT.VXD
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

 

 

Pour Firefox, il faut terminer 2-3 trucs, mais ça va aller mieux.

 

Télecharge http://batchdhelus.open-web.fr/programme/Yoog_Fix.bat et colle le rapport obtenu stp, aussi.

[Larsouille]

Ok, alors on se dit "tu"... ^^

 

Voila le premier Log:

 

Fichier INT13EXT.VXD reçu le 2009.02.09 22:23:51 (CET)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.09 -

AhnLab-V3 5.0.0.2 2009.02.09 -

AntiVir 7.9.0.76 2009.02.09 -

Authentium 5.1.0.4 2009.02.08 -

Avast 4.8.1335.0 2009.02.09 -

AVG 8.0.0.229 2009.02.09 -

BitDefender 7.2 2009.02.09 -

CAT-QuickHeal 10.00 2009.02.09 -

ClamAV 0.94.1 2009.02.09 -

Comodo 972 2009.02.09 -

DrWeb 4.44.0.09170 2009.02.09 -

eSafe 7.0.17.0 2009.02.09 -

eTrust-Vet 31.6.6347 2009.02.09 -

F-Prot 4.4.4.56 2009.02.09 -

F-Secure 8.0.14470.0 2009.02.09 -

Fortinet 3.117.0.0 2009.02.09 -

GData 19 2009.02.09 -

Ikarus T3.1.1.45.0 2009.02.09 -

K7AntiVirus 7.10.624 2009.02.09 -

Kaspersky 7.0.0.125 2009.02.09 -

McAfee 5520 2009.02.08 -

McAfee+Artemis 5521 2009.02.09 -

Microsoft 1.4306 2009.02.09 -

NOD32 3839 2009.02.09 -

Norman 6.00.02 2009.02.09 -

nProtect 2009.1.8.0 2009.02.09 -

Panda 9.5.1.2 2009.02.09 -

PCTools 4.4.2.0 2009.02.09 -

Prevx1 V2 2009.02.09 -

Rising 21.15.50.00 2009.02.07 -

SecureWeb-Gateway 6.7.6 2009.02.09 -

Sophos 4.38.0 2009.02.09 -

Sunbelt 3.2.1847.2 2009.02.07 -

Symantec 10 2009.02.09 -

TheHacker 6.3.1.5.250 2009.02.09 -

TrendMicro 8.700.0.1004 2009.02.09 -

VBA32 3.12.8.12 2009.02.08 -

ViRobot 2009.2.9.1596 2009.02.09 -

VirusBuster 4.5.11.0 2009.02.09 -

Information additionnelle

File size: 6200 bytes

MD5...: e1d9b162740b31caee817740341eff09

SHA1..: 2a23c7c94f97f64b4c7d51b192e83106bf711126

SHA256: 3ff6c595a0fb5b91a6370b0b02cd587a4e286f48a98b40f0e603501c13ab635c

SHA512: 0244447be51c39d420914258e4b7dde54158178960775a8cabdea80c4b5ac2c8<br>29af9912c98fd4cef30c0eeb7daa6bd4b63c283c9dfa577165af89629d22ba1f<br>

ssdeep: 96:KN72MvuHZXdpSrXODyBl9+lcNBGb+udu/zNEXNEa1bYggM/0:KNjvunpSrXOD<br>4HTBGbKrN+PbtgM/0<br>

PEiD..: -

TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: -

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.93 2009.02.09 -

AhnLab-V3 5.0.0.2 2009.02.09 -

AntiVir 7.9.0.76 2009.02.09 -

Authentium 5.1.0.4 2009.02.08 -

Avast 4.8.1335.0 2009.02.09 -

AVG 8.0.0.229 2009.02.09 -

BitDefender 7.2 2009.02.09 -

CAT-QuickHeal 10.00 2009.02.09 -

ClamAV 0.94.1 2009.02.09 -

Comodo 972 2009.02.09 -

DrWeb 4.44.0.09170 2009.02.09 -

eSafe 7.0.17.0 2009.02.09 -

eTrust-Vet 31.6.6347 2009.02.09 -

F-Prot 4.4.4.56 2009.02.09 -

F-Secure 8.0.14470.0 2009.02.09 -

Fortinet 3.117.0.0 2009.02.09 -

GData 19 2009.02.09 -

Ikarus T3.1.1.45.0 2009.02.09 -

K7AntiVirus 7.10.624 2009.02.09 -

Kaspersky 7.0.0.125 2009.02.09 -

McAfee 5520 2009.02.08 -

McAfee+Artemis 5521 2009.02.09 -

Microsoft 1.4306 2009.02.09 -

NOD32 3839 2009.02.09 -

Norman 6.00.02 2009.02.09 -

nProtect 2009.1.8.0 2009.02.09 -

Panda 9.5.1.2 2009.02.09 -

PCTools 4.4.2.0 2009.02.09 -

Prevx1 V2 2009.02.09 -

Rising 21.15.50.00 2009.02.07 -

SecureWeb-Gateway 6.7.6 2009.02.09 -

Sophos 4.38.0 2009.02.09 -

Sunbelt 3.2.1847.2 2009.02.07 -

Symantec 10 2009.02.09 -

TheHacker 6.3.1.5.250 2009.02.09 -

TrendMicro 8.700.0.1004 2009.02.09 -

VBA32 3.12.8.12 2009.02.08 -

ViRobot 2009.2.9.1596 2009.02.09 -

VirusBuster 4.5.11.0 2009.02.09 -

 

Information additionnelle

File size: 6200 bytes

MD5...: e1d9b162740b31caee817740341eff09

SHA1..: 2a23c7c94f97f64b4c7d51b192e83106bf711126

SHA256: 3ff6c595a0fb5b91a6370b0b02cd587a4e286f48a98b40f0e603501c13ab635c

SHA512: 0244447be51c39d420914258e4b7dde54158178960775a8cabdea80c4b5ac2c8<br>29af9912c98fd4cef30c0eeb7daa6bd4b63c283c9dfa577165af89629d22ba1f<br>

ssdeep: 96:KN72MvuHZXdpSrXODyBl9+lcNBGb+udu/zNEXNEa1bYggM/0:KNjvunpSrXOD<br>4HTBGbKrN+PbtgM/0<br>

PEiD..: -

TrID..: File type identification<br>Generic Win/DOS Executable (49.5%)<br>DOS Executable Generic (49.5%)<br>VXD Driver (0.7%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: -

 

 

Voila le Yoog Log:

 

 

<---------- Parametres ---------->

 

Utilisateur courant: Larsouille

Programme lance depuis "C:\Documents and Settings\Larsouille\Bureau\Yoog_Fix.bat"

Windows XP Service Pack 3

Version IE: 7.0.5730.13

Version Firefox: 3.0.6

 

<---------- Analyse de Firefox ---------->

 

<---------- Addons Firefox ---------->

 

"Java Quick Starter"

"Ma-config.com"

"Java Console"

"Java Console"

"Java Console"

"Aero Fox"

"FoxTab"

"Default"

 

<---------- Valeur dans prefs.js ---------->

 

Moteur de recherche sur clique droit "browser.search.defaulturl" : http://www6.yoog.com/search.php?q=

Moteur de recherche par default "browser.search.defaultenginename" : Yoog Search

Moteur de recherche selectionne "browser.search.selectedEngine" : Yoog Search

 

<---------- Recherche de fichiers ---------->

 

--- "C:\Program Files\Mozilla Firefox\components\"

 

 

--- "C:\WINDOWS\system32"

 

 

--- Fichiers contenants adzgalore

 

 

--- Eventuelle infection encore inconnue

 

 

<---------- Analyse d'Internet Explorer ---------->

 

<---------- Recherche dans le registre ---------->

 

--> Recherche dans le registre

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

DisplayName REG_SZ @ieframe.dll,-12512

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2C7EA5F6-302C-40EB-9371-000A5E9CD7C6}

DisplayName REG_SZ Yahoo! Search

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}

DisplayName REG_SZ Google

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8E02D41C-5924-4816-9490-33CCD28BEB72}

DisplayName REG_SZ Yoog Search

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

URL REG_SZ http://search.live.com/results.aspx?q={sea...ferrer:source?}

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2C7EA5F6-302C-40EB-9371-000A5E9CD7C6}

URL REG_SZ http://search.yahoo.com/search?ei=ISO-8859...q={searchTerms}

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}

URL REG_SZ http://www.google.com/search?q={searchTerm...amp;rlz=1I7GZHY

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8E02D41C-5924-4816-9490-33CCD28BEB72}

URL REG_SZ http://www6.yoog.com/search.php?q={searchTerms}

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

URL REG_SZ http://search.live.com/results.aspx?q={sea...ferrer:source?}

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}

URL REG_SZ http://slirsredirect.search.aol.com/slirs_...e=tb50winampie7

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

URL REG_SZ http://search.live.com/results.aspx?q={sea...ferrer:source?}

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}

URL REG_SZ http://slirsredirect.search.aol.com/slirs_...e=tb50winampie7

 

 

--> Recherche dans HKEY_CURRENT_USER

 

Page de demarrage "Start Page": http://www.wanadoo.fr

Page de recherches "Search Page": http://go.microsoft.com/fwlink/?LinkId=54896

 

--> Recherche dans HKEY_LOCAL_MACHINE

 

Page de demarrage "Start Page": http://www.msn.com/

Page de recherches "Search Page": http://go.microsoft.com/fwlink/?LinkId=54896

Page de recherches par Default "Default_Search_URL": http://go.microsoft.com/fwlink/?LinkId=54896

CustomizeSearch: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

SearchAssistant: http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

 

--> Extension(s) trouvee(s)

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}

CLSID REG_SZ {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}

BandCLSID REG_SZ {FF059E31-CC5A-4E2E-BF3B-96E929D65503}

ButtonText REG_SZ Research

Default Visible REG_SZ Yes

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2D4D26B-0180-43a4-B05F-462D6D54C789}

CLSID REG_SZ {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}

Default Visible REG_SZ Yes

ButtonText REG_SZ Aide à la connexion

ToolTip REG_SZ Aide à la connexion

MenuText REG_SZ Aide à la connexion

Script REG_SZ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}

ButtonText REG_SZ Messenger

CLSID REG_SZ {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}

Default Visible REG_SZ Yes

Exec REG_SZ C:\Program Files\Messenger\msmsgs.exe

MenuText REG_SZ Windows Messenger

ToolTip REG_SZ Windows Messenger

 

<---------- Autres examens ---------->

 

--- "C:\Program Files\Mozilla Firefox\Components"

 

aboutRights.js

aboutRobots.js

browser.xpt

browserdirprovider.dll

brwsrcmp.dll

compreg.dat

FeedConverter.js

FeedProcessor.js

FeedWriter.js

fuelApplication.js

jsconsole-clhandler.js

nppl3260.xpt

nsAddonRepository.js

nsBadCertHandler.js

nsBlocklistService.js

nsBrowserContentHandler.js

nsBrowserGlue.js

nsContentDispatchChooser.js

nsContentPrefService.js

nsDefaultCLH.js

nsDownloadManagerUI.js

nsExtensionManager.js

nsHandlerService.js

nsHelperAppDlg.js

nsIQTScriptablePlugin.xpt

nsJSRealPlayerPlugin.xpt

nsLivemarkService.js

nsLoginInfo.js

nsLoginManager.js

nsLoginManagerPrompter.js

nsMicrosummaryService.js

nsPlacesTransactionsService.js

nsPostUpdateWin.js

nsProxyAutoConfig.js

nsSafebrowsingApplication.js

nsSearchService.js

nsSearchSuggestions.js

nsSessionStartup.js

nsSessionStore.js

nsSetDefaultBrowser.js

nsSidebar.js

nsTaggingService.js

nsTryToClose.js

nsUpdateService.js

nsUrlClassifierLib.js

nsUrlClassifierListManager.js

nsURLFormatter.js

nsWebHandlerApp.js

pluginGlue.js

storage-Legacy.js

txEXSLTRegExFunctions.js

WebContentConverter.js

xpti.dat

 

--- "C:\Program Files\Mozilla Firefox\searchplugins"

 

amazon-france.xml

eBay-france.xml

google.xml

MediaDICO-fr.xml

wikipedia-fr.xml

yahoo-france.xml

 

--- "C:\Program Files\Mozilla Firefox\plugins"

 

Microsoft.VC80.CRT

np-mswmp.dll

np32dsw.dll

npdeploytk.dll

npdivx32.dll

npdivx32.xpt

npnul32.dll

nppdf32.dll

nppdf32.FRA

nppl3260.dll

npqtplugin.dll

npqtplugin2.dll

npqtplugin3.dll

nprpjplug.dll

QuickTimePlugin.class

ShockwavePlugin.class

WMP Firefox Plugin License.rtf

WMP Firefox Plugin RelNotes.txt

 

--- "C:\Documents and Settings\Larsouille\Application Data\Mozilla\Firefox\Profiles\vk8jcjeq.Lars\searchplugins\"

Yoog Search.xml

 

<---------- Fin du rapport ---------->

 

 

 

 

Plein de fois n'est pas coutume: Merci, pour tout.

[Falkra]

Je t'ai fait un 2eme script, pour tester :

http://senduit.com/f828c7

 

Fais le glisser, de la même façon. Plus besoin de toucher aux périphériques amovibles.

Tu peux effacer le script n°1.

[Larsouille]

Bah en fait le premier s'est auto-effacé: reboot du pc, création du log et effaçage en règle du script.

 

 

Voila le Log Script N°2:

 

ComboFix 09-02-08.02 - Larsouille 2009-02-09 22:42:49.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1022.573 [GMT 1:00]

Lancé depuis: c:\documents and settings\Larsouille\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Larsouille\Bureau\CFScript2.txt

* Un nouveau point de restauration a été créé

 

FILE ::

c:\documents and settings\Larsouille\Application Data\Mozilla\Firefox\Profiles\vk8jcjeq.Lars\searchplugins\Yoog Search.xml

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Larsouille\Application Data\Mozilla\Firefox\Profiles\vk8jcjeq.Lars\searchplugins\Yoog Search.xml

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-09 au 2009-02-09 ))))))))))))))))))))))))))))))))))))

.

 

2009-02-09 00:24 . 2009-02-09 00:24 <REP> d-------- c:\program files\PC Inspector File Recovery

2009-02-09 00:24 . 2002-02-18 18:40 6,200 --a------ c:\windows\system32\INT13EXT.VXD

2009-02-08 22:23 . 2009-02-08 22:23 <REP> d-------- C:\rsit

2009-02-08 08:31 . 2009-02-08 08:31 410,984 --a------ c:\windows\system32\deploytk.dll

2009-02-08 08:31 . 2009-02-08 08:31 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-02-08 00:34 . 2009-02-08 00:34 <REP> d-------- c:\program files\Sierra

2009-02-07 05:34 . 2009-02-07 05:34 <REP> d-------- c:\program files\WBGames

2009-02-07 05:06 . 2009-02-07 05:12 <REP> d-------- c:\documents and settings\Larsouille\Application Data\vlc

2009-02-05 19:43 . 2009-02-05 19:43 917,504 --a------ c:\windows\system32\FLASH.OCX

2009-02-04 20:56 . 2009-02-04 21:44 <REP> d-------- c:\program files\Teamspeak2_RC2

2009-02-01 17:41 . 2008-04-14 04:34 20,992 --a------ c:\windows\system32\dshowext.ax

2009-02-01 17:41 . 2008-04-14 04:34 20,992 --a------ c:\windows\system32\dllcache\dshowext.ax

2009-01-29 21:51 . 2001-08-17 20:12 19,017 --a------ c:\windows\system32\drivers\RTL8029.sys

2009-01-29 21:51 . 2001-08-17 20:12 19,017 --a------ c:\windows\system32\dllcache\rtl8029.sys

2009-01-29 13:24 . 2009-01-29 13:24 <REP> d-------- c:\documents and settings\Larsouille\Application Data\Canneverbe_Limited

2009-01-29 01:00 . 2009-01-29 01:26 <REP> d-------- c:\documents and settings\Larsouille\Application Data\Download Manager

2009-01-25 03:27 . 2009-01-25 03:27 <REP> d-------- c:\windows\65F1CF6331E0450B96F34A88BE7361A6.TMP

2009-01-18 21:52 . 2009-02-08 10:55 <REP> d-------- c:\documents and settings\Larsouille\Tracing

2009-01-16 22:16 . 2009-02-08 04:45 137,688 --a------ c:\windows\system32\drivers\PnkBstrK.sys

2009-01-16 22:15 . 2009-02-08 04:45 202,040 --a------ c:\windows\system32\PnkBstrB.exe

2009-01-16 22:15 . 2009-01-16 22:15 66,872 --a------ c:\windows\system32\PnkBstrA.exe

2009-01-15 09:37 . 2009-01-15 09:37 42,320 --a------ c:\windows\system32\xfcodec.dll

2009-01-09 17:26 . 2009-02-07 04:30 <REP> d-------- c:\windows\system32\Adobe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-09 20:17 --------- d-----w c:\documents and settings\All Users\Application Data\NOS

2009-02-09 18:41 --------- d-----w c:\program files\NOS

2009-02-09 10:18 --------- d-----w c:\program files\Google

2009-02-08 23:39 --------- d-----w c:\documents and settings\Larsouille\Application Data\Xfire

2009-02-08 23:24 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-08 22:01 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-02-08 21:18 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-02-08 21:18 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-08 07:31 --------- d-----w c:\program files\Java

2009-02-08 03:15 --------- d-----w c:\program files\Trend Micro

2009-02-08 02:43 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-02-07 07:17 --------- d-----w c:\documents and settings\Larsouille\Application Data\dvdcss

2009-02-06 19:59 --------- d-----w c:\program files\Xfire

2009-01-17 22:18 --------- d-----w c:\program files\ModernRcon

2009-01-17 22:06 22,328 ----a-w c:\documents and settings\Larsouille\Application Data\PnkBstrK.sys

2009-01-14 21:46 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-12 07:00 --------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-01-09 01:17 --------- d-----w c:\program files\CCleaner

2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2009-01-02 17:53 --------- d-----w c:\program files\Frets on Fire

2009-01-02 17:46 --------- d-----w c:\program files\CDBurnerXP

2008-12-30 00:36 682,280 ----a-w c:\windows\system32\pbsvc.exe

2008-12-30 00:21 --------- d-----w c:\program files\Activision

2008-12-25 20:06 --------- d-----w c:\documents and settings\Larsouille\Application Data\fretsonfire

2008-12-25 10:41 --------- d-----w c:\program files\Bonjour

2008-12-17 17:10 --------- d-----w c:\program files\Microsoft

2008-12-13 06:37 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll

2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe

2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys

2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll

2008-11-12 09:10 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

2008-08-23 21:09 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat

.

 

((((((((((((((((((((((((((((( SnapShot@2009-02-09_21.24.02,59 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\erdnt\subs\ERDNT.EXE

+ 2009-02-09 21:02:52 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_1d0.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]

"PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]

"EPSON Stylus CX6600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE" [2004-03-01 98304]

"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 98304]

"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"WinSys2"="c:\windows\system32\winsys2.exe" [2008-07-03 208896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-08 136600]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-04-13 c:\windows\RTHDCPL.EXE]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.XFR1"= xfcodec.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--a------ 2007-03-16 11:45 63712 c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 01:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CnxDslTaskBar]

-ra------ 2005-05-20 15:32 278528 c:\program files\ZTE Corporation\ZXDSL852\CnxDslTb.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-11-20 13:20 290088 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2008-04-14 03:34 1695232 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2008-05-16 19:31 86016 c:\windows\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]

--a------ 2007-09-25 19:10 102400 c:\program files\Orange\SessionManager\SessionManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystrayORAHSS]

--a------ 2007-09-25 20:08 94208 c:\program files\Orange\Systray\SystrayApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2005-04-12 09:10 65536 c:\windows\ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2008-05-16 19:31 1630208 c:\windows\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"aawservice"=2 (0x2)

"iPod Service"=3 (0x3)

"gusvc"=3 (0x3)

"Fax"=3 (0x3)

"Bonjour Service"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\NetMeeting\\conf.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

"c:\\Program Files\\Teamspeak2_RC2\\server_windows.exe"=

"c:\\Program Files\\Teamspeak2_RC2 CLIENT\\TeamSpeak.exe"=

"c:\\Program Files\\Xfire\\xfire.exe"=

"c:\\Program Files\\Metin2_France\\metin2.bin"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Program Files\\WBGames\\Monolith Productions\\F.E.A.R. 2 SP Demo\\FEAR2SPDemo.exe"=

"c:\\Program Files\\Sierra\\FEAR\\FEAR.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"10231:TCP"= 10231:TCP:BitComet 10231 TCP

"10231:UDP"= 10231:UDP:BitComet 10231 UDP

"45191:TCP"= 45191:TCP:Utorrent

"45191:UDP"= 45191:UDP:Utorrent

"8767:TCP"= 8767:TCP:TS Serveur

"8767:UDP"= 8767:UDP:TS Serveur

 

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [2007-10-30 59904]

R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2008-11-22 23064]

R3 WN5401;Liteon Wireless LAN PCI 802.11 a/b/g adapter WN5401A;c:\windows\system32\drivers\wn5401.sys [2005-01-02 449920]

S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;c:\windows\system32\drivers\CnxEtP.sys [2007-10-28 131072]

S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;c:\windows\system32\drivers\CnxEtU.sys [2007-10-28 618112]

S3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;c:\windows\system32\drivers\CnxTgNW.sys [2007-10-28 52736]

S3 DCamUSBSTK02H;STK02H Camera;c:\windows\system32\DRIVERS\STK02HW2.sys --> c:\windows\system32\DRIVERS\STK02HW2.sys [?]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 MSIGreenPower;MSIGreenPower;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\NTGLM7X.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\NTGLM7X.sys [?]

S3 MSIGreenPowerRushTop;MSIGreenPowerRushTop;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\RushTop.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\RushTop.sys [?]

S3 RushTopDevice_J;RushTopDevice_J;\??\c:\program files\MSI\DualCoreCenter\Green Power Center\RushJ.sys --> c:\program files\MSI\DualCoreCenter\Green Power Center\RushJ.sys [?]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - ENTDRV51

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b71ed76-dcb1-11dc-b4e3-00d0d08d71b9}]

\Shell\AutoRun\command - wd_windows_tools\setup.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-25 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Examen supplémentaire -------

.

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=presario&pf=desktop

uStart Page = hxxp://www.wanadoo.fr

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=presario&pf=desktop

mWindow Title =

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=presario&pf=desktop

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: orange.fr\www

TCP: {9207F01E-8F1C-4922-86E1-573BA9522D17} = 80.10.246.2,80.10.246.129

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Larsouille\Application Data\Mozilla\Firefox\Profiles\vk8jcjeq.Lars\

FF - prefs.js: browser.search.defaulturl - hxxp://www6.yoog.com/search.php?q=

FF - prefs.js: browser.search.selectedEngine - Yoog Search

FF - prefs.js: keyword.URL - hxxp://www6.yoog.com/search.php?q=

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.proxy.type - 0

FF - user.js: browser.shell.checkDefaultBrowser - false

FF - user.js: google.toolbar.linkdoctor.enabled - false

FF - user.js: browser.search.defaultenginename - Yoog Search

FF - user.js: browser.search.defaulturl - hxxp://www6.yoog.com/search.php?q=

FF - user.js: browser.search.selectedEngine - Yoog Search

FF - user.js: keyword.URL - hxxp://www6.yoog.com/search.php?q=

FF - user.js: keyword.enabled - true

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-09 22:44:10

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1931622177-1426763710-2230002237-1010\Software\SecuROM\License information*]

"datasecu"=hex:d2,c2,e1,60,f7,e5,ce,75,d3,24,6d,aa,ff,81,64,9a,ca,e3,50,8a,a6,

9c,0f,7c,02,c6,3d,de,04,08,41,ad,58,6a,96,20,02,4e,29,88,bd,cb,6f,89,26,c5,\

"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(852)

c:\windows\system32\EntApi.dll

.

Heure de fin: 2009-02-09 22:46:10

ComboFix-quarantined-files.txt 2009-02-09 21:46:08

ComboFix2.txt 2009-02-09 21:08:31

ComboFix3.txt 2009-02-09 20:25:36

 

Avant-CF: 134 612 353 024 octets libres

Après-CF: 134,593,359,872 octets libres

 

Current=4 Default=4 Failed=2 LastKnownGood=3 Sets=,1,2,3,4

248 --- E O F --- 2009-01-14 21:46:39

 

 

 

--> Je confirme, les scripts s'efface automatiquement après utilisation.

 

EDIT: J'ai testé FF, il n'a plus se soucis de décalage.

Modifié le 9 février 2009 par Larsouille

[Larsouille]

*Le petit FALKRA est demandé sur Zebubu, le petit FALKRA*

 

J'vais téléphoner à perdu de recherche...

 

Si ça se trouve c'est mon malware qu'a flingué sa machine...

Balèze le malware..

Ça machine a fait "pffshit" et écran noir.

 

(Je rigole bien sur, mon pc fonctionne alors rien ne presse et pis, on a tous une vie )

[Falkra]

*Le petit FALKRA est demandé sur Zebubu, le petit FALKRA*

Evite ce type de messages stp...

 

 

Va dans le répertoire profil de Firefox et trouve les fichiers prefs.js et user.js

Supprime user.js

Edite prefs.js avec le bloc-notes, et recherche yoog dedans, remplace à chaque fois par google (par exemple).

 

A faire Firefox étant fermé.

 

Plus de décalage, bien !