Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Analyse hijackthis, services qui ne démarre pas

Un autre curieux
 Partager

Messages recommandés

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Télécharge CFScript.txt et enregistre le sur ton bureau.

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
     
    CFScriptB-4.gif
  • Une fenêtre bleue va apparaître, valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\Qoobox\ComboFix(4).txt

Un autre curieux Member

Un autre curieux

Posté(e)
  • Auteur
Posté(e)

Voici le rapport:

 

ComboFix 09-04-01.01 - Guy 2009-04-03 19:38:44.4 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.468 [GMT -4:00]

Lancé depuis: c:\documents and settings\Guy\Bureau\CBF.exe

Commutateurs utilisés :: c:\documents and settings\Guy\Bureau\CFScript.txt

AV: Sympatico Security Manager Anti-Virus *On-access scanning disabled* (Updated)

FW: Sympatico Security Manager Firewall *disabled*

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\Cursors\lsass.exe

o:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

q:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

r:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

s:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-03 au 2009-04-03 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-03 15:23 . 2009-04-03 18:51 <REP> d--h----- C:\bdtmp

2009-04-01 01:08 . 2009-04-01 01:53 1,320 --a------ c:\windows\system32\PDBootState

2009-03-29 12:45 . 2009-03-29 12:47 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-03-29 12:09 . 2009-03-29 12:11 <REP> d-------- c:\documents and settings\Guy\.SunDownloadManager

2009-03-28 19:15 . 2009-03-28 19:24 <REP> d-------- C:\ComboFix

2009-03-28 16:39 . 2009-03-28 16:39 <REP> d-------- c:\documents and settings\Administrateur\Application Data\ScanSoft

2009-03-28 16:30 . 2009-03-28 16:31 <REP> d-------- c:\program files\Navilog1

2009-03-28 15:04 . 2009-03-28 15:04 <REP> dr------- c:\documents and settings\NetworkService\Mes documents

2009-03-28 01:05 . 2001-08-23 17:46 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll

2009-03-28 00:14 . 2008-11-06 02:03 <REP> d-------- C:\SDFix

2009-03-27 20:24 . 1997-08-05 09:18 940,304 --a------ c:\windows\system\mfc42.dll

2009-03-27 20:01 . 2009-03-27 19:51 58,891 --a------ C:\mdelk.EXE

2009-03-24 18:45 . 2009-03-24 18:47 <REP> d-------- c:\documents and settings\Administrateur\DoctorWeb

2009-03-22 21:14 . 2009-03-22 21:15 <REP> d-------- c:\documents and settings\Guy\DoctorWeb

2009-03-22 16:48 . 2009-03-22 16:48 <REP> d-------- c:\program files\Raxco

2009-03-22 16:25 . 2009-03-22 16:25 <REP> d-------- c:\program files\CA

2009-03-22 01:18 . 2009-03-22 01:18 <REP> d-------- c:\documents and settings\NetworkService\Bureau

2009-03-21 22:45 . 2009-03-21 22:45 <REP> d-------- c:\program files\Innovative Solutions

2009-03-21 00:27 . 2009-03-21 00:27 <REP> d-------- c:\documents and settings\LocalService\Bureau

2009-03-20 20:07 . 2009-03-20 21:15 <REP> d-------- c:\documents and settings\Guy\Application Data\QuickScan

2009-03-17 22:34 . 2009-03-17 22:34 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Zeon

2009-03-17 19:14 . 2009-03-17 19:14 <REP> d-------- C:\_AcroTemp

2009-03-05 19:07 . 2009-03-05 19:08 66,560 --a------ c:\windows\system32\wextract.exe

2009-03-05 19:07 . 2009-03-05 19:08 66,560 --a--c--- c:\windows\system32\dllcache\wextract.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-03 22:19 --------- d-----w c:\documents and settings\Guy\Application Data\U3

2009-04-03 22:18 --------- d-----w c:\documents and settings\Guy\Application Data\uTorrent

2009-04-03 21:47 --------- d-----w c:\program files\PersonalBrain

2009-04-03 19:04 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-01 02:57 --------- d-----w c:\program files\Java

2009-03-29 23:23 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-29 16:47 410,984 ----a-w c:\windows\system32\deploytk.dll

2009-03-29 03:21 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-03-29 03:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-29 02:55 --------- d-----w c:\program files\Lavasoft

2009-03-29 02:55 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-03-28 04:34 --------- d-----w c:\documents and settings\Guy\Application Data\Lavasoft

2009-03-26 20:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-26 20:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-24 22:55 --------- d-----w c:\program files\SpywareBlaster

2009-03-24 22:50 --------- d-----w c:\program files\ma-config.com

2009-03-22 21:58 --------- d-----w c:\documents and settings\Guy\Application Data\Simple Sudoku

2009-03-22 21:58 --------- d-----w c:\documents and settings\Guy\Application Data\LimeWire

2009-03-22 21:58 --------- d-----w c:\documents and settings\Guy\Application Data\DVD Profiler

2009-03-18 13:21 --------- d-----w c:\program files\SpywareGuard

2009-03-18 01:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\Bell

2009-03-16 00:31 --------- d-----w c:\program files\Fichiers communs\Ahead

2009-03-13 10:52 --------- d-----w c:\documents and settings\Guy\Application Data\dvdcss

2009-03-11 23:42 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-09 21:43 --------- d-----w c:\program files\PowerISO

2009-03-05 22:32 --------- d-----w c:\program files\DVD Profiler3

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-02-09 02:45 --------- d-----w c:\program files\Druide

2009-01-29 21:54 89,256 ----a-w c:\windows\system32\ElbyCDIO.dll

2009-01-11 00:38 31 ----a-w c:\documents and settings\Guy\jagex_runescape_preferences.dat

2008-07-11 23:23 163 ----a-w c:\program files\setuplog.txt

2008-06-26 22:50 213 ----a-w c:\documents and settings\Guy\7716.bat

2008-06-16 18:28 415 ----a-w c:\program files\file_id.diz

2008-06-16 18:27 7,628 ----a-w c:\program files\te.nfo

2008-04-13 01:07 22,118 ----a-w c:\program files\keyfinder.cfg

2008-01-11 15:49 1,224,133 ----a-w c:\program files\I_LOVE_DVT.RAR

2008-01-10 21:42 20,851,200 ----a-w c:\program files\PersonalBrain_windows_4_1_2_8_lib.exe

2007-08-22 13:21 47,360 ----a-w c:\documents and settings\Guy\Application Data\pcouffin.sys

2007-06-09 22:08 121 ----a-w c:\program files\users.dat

2007-02-20 22:43 21,416 ----a-w c:\documents and settings\Guy\Application Data\GDIPFONTCACHEV1.DAT

2006-06-15 21:18 32 ----a-r c:\documents and settings\All Users\hash.dat

2001-03-28 16:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe

.

 

((((((((((((((((((((((((((((( SnapShot@2009-03-28_20.24.16.35 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-08-21 20:04:24 139,264 ----a-w c:\windows\system32\java.exe

+ 2009-03-29 16:47:19 144,792 ----a-w c:\windows\system32\java.exe

- 2008-08-21 20:04:24 139,264 ----a-w c:\windows\system32\javaw.exe

+ 2009-03-29 16:47:20 144,792 ----a-w c:\windows\system32\javaw.exe

- 2008-08-21 20:04:24 143,360 ----a-w c:\windows\system32\javaws.exe

+ 2009-03-29 16:47:21 148,888 ----a-w c:\windows\system32\javaws.exe

+ 2008-04-13 23:33:30 1,028,096 ----a-w c:\windows\system32\mfc42.dll

- 2009-02-12 04:56:17 21,244,872 ----a-w c:\windows\system32\MRT.exe

+ 2009-02-25 20:54:59 24,768,960 ----a-w c:\windows\system32\MRT.exe

+ 2009-04-03 19:05:22 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_27c.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote.MiseAJour_Temporaire\Gestionnaire Antidote.exe" [2008-12-02 542136]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SSA.exe"="c:\program files\Bell\Sympatico Security Advisor\SSA.exe" [2007-03-27 2061816]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"Sympatico Security Manager"="c:\program files\Bell\Security Manager\RPS.exe" [2008-03-10 311024]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-03-26 401040]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *\0smrgdf c:\documents and settings\guy\application data\iolo

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

--------- 2008-06-11 23:43 640376 c:\program files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]

--a------ 2008-06-12 03:25 37232 c:\program files\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-11-20 14:20 290088 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-10-18 12:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wextract_cleanup1]

--a------ 2008-12-20 18:46 124928 c:\windows\system32\advpack.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]

--a------ 2005-05-20 15:46 28160 c:\windows\KHALMNPR.Exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"InCDsrv"=2 (0x2)

"Creative Service for CDROM Access"=2 (0x2)

"AVP"=2 (0x2)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\Program Files\\MusicBrainz Picard\\picard.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"f:\\Program Files\\World of Warcraft\\Launcher.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"67:UDP"= 67:UDP:DHCP Discovery Service

"42668:TCP"= 42668:TCP:utorrent

"42668:UDP"= 42668:UDP:utorrent

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015

"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016

"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

"6112:TCP"= 6112:TCP:Blizzard Downloader

"85:TCP"= 85:TCP:BroadWave Web Server

 

R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-07-23 17408]

R2 BroadWaveService;BroadWave;c:\program files\NCH Swift Sound\BroadWave\broadwave.exe [2008-11-28 499716]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2008-06-27 179856]

R2 VaultClientUpgrade;Personal Vault Upgrade Service;c:\program files\Personal Vault\VaultClientUpgrade.exe [2008-03-07 53248]

R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2008-06-27 15504]

S2 CSIScanner;CSIScanner; [x]

S2 spydetector;spydetector;\??\c:\program files\Spyware Process Detector\Crack\spydetector.sys --> c:\program files\Spyware Process Detector\Crack\spydetector.sys [?]

S3 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [2007-12-06 660768]

S3 DUBE100;D-LINK DUB-E100 USB 2.0 to Fast Ethernet Adapter;c:\windows\system32\drivers\DUBE100.sys [2006-05-14 11935]

S3 Radialpoint Security Services;Sympatico Security Manager;c:\program files\Bell\Security Manager\RpsSecurityAware.exe [2008-03-10 67824]

S4 ioloFileInfoList;iolo FileInfoList Service; [x]

S4 ioloSystemService;iolo System Service; [x]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]

\Shell\AutoRun\command - M:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-6-43-100024049-100009553-100028700-6312.com o:\

\Shell\Open\command - o:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com o:\

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\S]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-6-43-100024049-100009553-100028700-6312.com s:\

\Shell\Open\command - s:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com s:\

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{46524144-4652-4652-4652-465241444554}]

"c:\windows\Cursors\lsass.exe" /s

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-29 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

 

2009-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 13:34]

 

2009-03-29 c:\windows\Tasks\Malwarebytes' Scheduled Scan for Guy.job

- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-26 16:49]

 

2009-03-29 c:\windows\Tasks\Malwarebytes' Scheduled Update for Guy.job

- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-26 16:49]

 

2009-04-03 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://sympatico.msn.ca/defaultf.aspx

mStart Page = hxxp://sympatico.msn.ca/defaultf.aspx

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://g.msn.ca/0SEENCA/SAOS01?FORM=TOOLBR

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Ajouter à Kaspersky Anti-Bannière

IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: EarthLink Yahoo Search - c:\program files\EarthLink\Toolbar\SearchUI.dll/search.html

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Guy\Application Data\Mozilla\Firefox\Profiles\cm79bhkt.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cnn.com/

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=MICC20&q=

FF - component: c:\documents and settings\Guy\Application Data\Mozilla\Firefox\Profiles\cm79bhkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll

FF - plugin: c:\documents and settings\All Users\Application Data\NexonUS\NGM\npNxGameUS.dll

FF - plugin: c:\documents and settings\Guy\Application Data\Mozilla\Firefox\Profiles\cm79bhkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: general.useragent.extra.zencast - Creative ZENcast v1.00.19); user_pref(general.useragent.extra.zencast, Creative ZENcast v1.02.12

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.14);user_pref(yahoo.homepage.dontask, true.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-03 19:42:27

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-602162358-2025429265-1801674531-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

Heure de fin: 2009-04-03 19:46:16

ComboFix-quarantined-files.txt 2009-04-03 23:46:09

ComboFix2.txt 2009-03-31 21:11:08

ComboFix3.txt 2009-03-29 18:18:48

ComboFix4.txt 2009-03-29 00:26:53

 

Avant-CF: 16 235 634 688 octets libres

Après-CF: 16,221,171,712 octets libres

 

Current=2 Default=2 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5

256 --- E O F --- 2009-04-03 19:10:27

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Il y a-t-il un outil de sécurité (qui m'aurait échappé) qui protégerait en temps réel les modifications apportées au registre ?

 

Les corrections que j'essaie d'apporter ne semblent pas être prises en compte.

Un autre curieux Member

Un autre curieux

Posté(e)
  • Auteur
Posté(e)

Voici quelques préoccupations...

En exécutant combofix, malwarebytes, sa protection était active, etite fenêtre au bas de l'écran.

Aurais-je du quitter ce programme avant l'exécution de combofix?

 

Aussi, lors de l'exécution de combofix, il y a désactivation de l'antivirus (de Bell sympatico). Est-ce à dire que les autres services (ex.: anti-spyware, fraud protection, pop up blocker, web privacy Control) sont aussi désactivés?

 

Est-ce aidant?

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Voilà ce que je te propose. :P

 

Tu te déconnectes complètement, et tu désactives toutes tes protections (étant déconnecté, aucun risque).

 

Ensuite, tu renouvelles l'analyse avec le CFScript que l'on voit si la correction ne passe pas à cause des outils de sécurité.

Un autre curieux Member

Un autre curieux

Posté(e)
  • Auteur
Posté(e)

Voici:

 

ComboFix 09-04-01.01 - Guy 2009-04-03 22:16:15.7 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.532 [GMT -4:00]

Lancé depuis: c:\documents and settings\Guy\Bureau\CBF.exe

Commutateurs utilisés :: c:\documents and settings\Guy\Bureau\CFScript.txt

AV: Sympatico Security Manager Anti-Virus *On-access scanning disabled* (Updated)

FW: Sympatico Security Manager Firewall *disabled*

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\Cursors\lsass.exe

o:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

q:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

r:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

s:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-04 au 2009-04-04 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-03 15:23 . 2009-04-03 18:51 <REP> d--h----- C:\bdtmp

2009-04-01 01:08 . 2009-04-01 01:53 1,320 --a------ c:\windows\system32\PDBootState

2009-03-29 12:45 . 2009-03-29 12:47 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-03-29 12:09 . 2009-03-29 12:11 <REP> d-------- c:\documents and settings\Guy\.SunDownloadManager

2009-03-28 19:15 . 2009-03-28 19:24 <REP> d-------- C:\ComboFix

2009-03-28 16:39 . 2009-03-28 16:39 <REP> d-------- c:\documents and settings\Administrateur\Application Data\ScanSoft

2009-03-28 16:30 . 2009-03-28 16:31 <REP> d-------- c:\program files\Navilog1

2009-03-28 15:04 . 2009-03-28 15:04 <REP> dr------- c:\documents and settings\NetworkService\Mes documents

2009-03-28 01:05 . 2001-08-23 17:46 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll

2009-03-28 00:14 . 2008-11-06 02:03 <REP> d-------- C:\SDFix

2009-03-27 20:24 . 1997-08-05 09:18 940,304 --a------ c:\windows\system\mfc42.dll

2009-03-27 20:01 . 2009-03-27 19:51 58,891 --a------ C:\mdelk.EXE

2009-03-24 18:45 . 2009-03-24 18:47 <REP> d-------- c:\documents and settings\Administrateur\DoctorWeb

2009-03-22 21:14 . 2009-03-22 21:15 <REP> d-------- c:\documents and settings\Guy\DoctorWeb

2009-03-22 16:48 . 2009-03-22 16:48 <REP> d-------- c:\program files\Raxco

2009-03-22 16:25 . 2009-03-22 16:25 <REP> d-------- c:\program files\CA

2009-03-22 01:18 . 2009-03-22 01:18 <REP> d-------- c:\documents and settings\NetworkService\Bureau

2009-03-21 22:45 . 2009-03-21 22:45 <REP> d-------- c:\program files\Innovative Solutions

2009-03-21 00:27 . 2009-03-21 00:27 <REP> d-------- c:\documents and settings\LocalService\Bureau

2009-03-20 20:07 . 2009-03-20 21:15 <REP> d-------- c:\documents and settings\Guy\Application Data\QuickScan

2009-03-17 22:34 . 2009-03-17 22:34 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Zeon

2009-03-17 19:14 . 2009-03-17 19:14 <REP> d-------- C:\_AcroTemp

2009-03-05 19:07 . 2009-03-05 19:08 66,560 --a------ c:\windows\system32\wextract.exe

2009-03-05 19:07 . 2009-03-05 19:08 66,560 --a--c--- c:\windows\system32\dllcache\wextract.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-04 01:55 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-04 01:37 --------- d-----w c:\documents and settings\Guy\Application Data\U3

2009-04-04 01:21 --------- d-----w c:\documents and settings\Guy\Application Data\uTorrent

2009-04-03 21:47 --------- d-----w c:\program files\PersonalBrain

2009-04-01 02:57 --------- d-----w c:\program files\Java

2009-03-29 23:23 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-29 16:47 410,984 ----a-w c:\windows\system32\deploytk.dll

2009-03-29 03:21 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-03-29 03:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-29 02:55 --------- d-----w c:\program files\Lavasoft

2009-03-29 02:55 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-03-28 04:34 --------- d-----w c:\documents and settings\Guy\Application Data\Lavasoft

2009-03-26 20:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-26 20:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-24 22:55 --------- d-----w c:\program files\SpywareBlaster

2009-03-24 22:50 --------- d-----w c:\program files\ma-config.com

2009-03-22 21:58 --------- d-----w c:\documents and settings\Guy\Application Data\Simple Sudoku

2009-03-22 21:58 --------- d-----w c:\documents and settings\Guy\Application Data\LimeWire

2009-03-22 21:58 --------- d-----w c:\documents and settings\Guy\Application Data\DVD Profiler

2009-03-18 13:21 --------- d-----w c:\program files\SpywareGuard

2009-03-18 01:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\Bell

2009-03-16 00:31 --------- d-----w c:\program files\Fichiers communs\Ahead

2009-03-13 10:52 --------- d-----w c:\documents and settings\Guy\Application Data\dvdcss

2009-03-11 23:42 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-09 21:43 --------- d-----w c:\program files\PowerISO

2009-03-05 22:32 --------- d-----w c:\program files\DVD Profiler3

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-02-09 02:45 --------- d-----w c:\program files\Druide

2009-01-29 21:54 89,256 ----a-w c:\windows\system32\ElbyCDIO.dll

2009-01-11 00:38 31 ----a-w c:\documents and settings\Guy\jagex_runescape_preferences.dat

2008-07-11 23:23 163 ----a-w c:\program files\setuplog.txt

2008-06-26 22:50 213 ----a-w c:\documents and settings\Guy\7716.bat

2008-06-16 18:28 415 ----a-w c:\program files\file_id.diz

2008-06-16 18:27 7,628 ----a-w c:\program files\te.nfo

2008-04-13 01:07 22,118 ----a-w c:\program files\keyfinder.cfg

2008-01-11 15:49 1,224,133 ----a-w c:\program files\I_LOVE_DVT.RAR

2008-01-10 21:42 20,851,200 ----a-w c:\program files\PersonalBrain_windows_4_1_2_8_lib.exe

2007-08-22 13:21 47,360 ----a-w c:\documents and settings\Guy\Application Data\pcouffin.sys

2007-06-09 22:08 121 ----a-w c:\program files\users.dat

2007-02-20 22:43 21,416 ----a-w c:\documents and settings\Guy\Application Data\GDIPFONTCACHEV1.DAT

2006-06-15 21:18 32 ----a-r c:\documents and settings\All Users\hash.dat

2001-03-28 16:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe

.

 

((((((((((((((((((((((((((((( SnapShot@2009-03-28_20.24.16.35 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-08-21 20:04:24 139,264 ----a-w c:\windows\system32\java.exe

+ 2009-03-29 16:47:19 144,792 ----a-w c:\windows\system32\java.exe

- 2008-08-21 20:04:24 139,264 ----a-w c:\windows\system32\javaw.exe

+ 2009-03-29 16:47:20 144,792 ----a-w c:\windows\system32\javaw.exe

- 2008-08-21 20:04:24 143,360 ----a-w c:\windows\system32\javaws.exe

+ 2009-03-29 16:47:21 148,888 ----a-w c:\windows\system32\javaws.exe

+ 2008-04-13 23:33:30 1,028,096 ----a-w c:\windows\system32\mfc42.dll

- 2009-02-12 04:56:17 21,244,872 ----a-w c:\windows\system32\MRT.exe

+ 2009-02-25 20:54:59 24,768,960 ----a-w c:\windows\system32\MRT.exe

+ 2009-04-04 01:55:25 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7f4.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote.MiseAJour_Temporaire\Gestionnaire Antidote.exe" [2008-12-02 542136]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SSA.exe"="c:\program files\Bell\Sympatico Security Advisor\SSA.exe" [2007-03-27 2061816]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"Sympatico Security Manager"="c:\program files\Bell\Security Manager\RPS.exe" [2008-03-10 311024]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-03-26 401040]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *\0smrgdf c:\documents and settings\guy\application data\iolo

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

--------- 2008-06-11 23:43 640376 c:\program files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]

--a------ 2008-06-12 03:25 37232 c:\program files\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-11-20 14:20 290088 c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-10-18 12:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wextract_cleanup1]

--a------ 2008-12-20 18:46 124928 c:\windows\system32\advpack.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]

--a------ 2005-05-20 15:46 28160 c:\windows\KHALMNPR.Exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"InCDsrv"=2 (0x2)

"Creative Service for CDROM Access"=2 (0x2)

"AVP"=2 (0x2)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\Program Files\\MusicBrainz Picard\\picard.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"f:\\Program Files\\World of Warcraft\\Launcher.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"67:UDP"= 67:UDP:DHCP Discovery Service

"42668:TCP"= 42668:TCP:utorrent

"42668:UDP"= 42668:UDP:utorrent

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015

"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016

"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

"6112:TCP"= 6112:TCP:Blizzard Downloader

"85:TCP"= 85:TCP:BroadWave Web Server

 

R0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-07-23 17408]

R2 BroadWaveService;BroadWave;c:\program files\NCH Swift Sound\BroadWave\broadwave.exe [2008-11-28 499716]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2008-06-27 179856]

R2 VaultClientUpgrade;Personal Vault Upgrade Service;c:\program files\Personal Vault\VaultClientUpgrade.exe [2008-03-07 53248]

R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2008-06-27 15504]

S2 CSIScanner;CSIScanner; [x]

S2 spydetector;spydetector;\??\c:\program files\Spyware Process Detector\Crack\spydetector.sys --> c:\program files\Spyware Process Detector\Crack\spydetector.sys [?]

S3 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [2007-12-06 660768]

S3 DUBE100;D-LINK DUB-E100 USB 2.0 to Fast Ethernet Adapter;c:\windows\system32\drivers\DUBE100.sys [2006-05-14 11935]

S3 Radialpoint Security Services;Sympatico Security Manager;c:\program files\Bell\Security Manager\RpsSecurityAware.exe [2008-03-10 67824]

S4 ioloFileInfoList;iolo FileInfoList Service; [x]

S4 ioloSystemService;iolo System Service; [x]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]

\Shell\AutoRun\command - M:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-6-43-100024049-100009553-100028700-6312.com o:\

\Shell\Open\command - o:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com o:\

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\S]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-0-6-43-100024049-100009553-100028700-6312.com s:\

\Shell\Open\command - s:\recycler\S-0-6-43-100024049-100009553-100028700-6312.com s:\

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{46524144-4652-4652-4652-465241444554}]

"c:\windows\Cursors\lsass.exe" /s

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-29 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

 

2009-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 13:34]

 

2009-03-29 c:\windows\Tasks\Malwarebytes' Scheduled Scan for Guy.job

- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-26 16:49]

 

2009-03-29 c:\windows\Tasks\Malwarebytes' Scheduled Update for Guy.job

- c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2009-03-26 16:49]

 

2009-04-04 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://sympatico.msn.ca/defaultf.aspx

mStart Page = hxxp://sympatico.msn.ca/defaultf.aspx

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://g.msn.ca/0SEENCA/SAOS01?FORM=TOOLBR

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Ajouter à Kaspersky Anti-Bannière

IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: EarthLink Yahoo Search - c:\program files\EarthLink\Toolbar\SearchUI.dll/search.html

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Guy\Application Data\Mozilla\Firefox\Profiles\cm79bhkt.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.cnn.com/

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=MICC20&q=

FF - component: c:\documents and settings\Guy\Application Data\Mozilla\Firefox\Profiles\cm79bhkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll

FF - plugin: c:\documents and settings\All Users\Application Data\NexonUS\NGM\npNxGameUS.dll

FF - plugin: c:\documents and settings\Guy\Application Data\Mozilla\Firefox\Profiles\cm79bhkt.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: general.useragent.extra.zencast - Creative ZENcast v1.00.19); user_pref(general.useragent.extra.zencast, Creative ZENcast v1.02.12

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.14);user_pref(yahoo.homepage.dontask, true.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-03 22:19:00

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-602162358-2025429265-1801674531-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

Heure de fin: 2009-04-03 22:22:47

ComboFix-quarantined-files.txt 2009-04-04 02:22:38

ComboFix2.txt 2009-04-04 02:13:47

ComboFix3.txt 2009-04-04 01:48:04

ComboFix4.txt 2009-04-03 23:46:23

ComboFix5.txt 2009-04-04 02:15:17

 

Avant-CF: 16 129 179 648 octets libres

Après-CF: 16,111,128,576 octets libres

 

Current=2 Default=2 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5

259 --- E O F --- 2009-04-03 19:10:27

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour :P

 

Décidément, cela ne veut pas. Tu sembles l'avoir exécuté plusieurs fois encore, tu avais rencontré des soucis ?

 

On va vérifier à nouveau quelque chose :

 

Télécharge SystemLook de jpshortstuff sur ton Bureau.

  • Double-clique dessus afin de l'exécuter.
  • L'outil va s'ouvrir.
  • Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire.
  • Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil :

    • :filefind
      lsass.exe
      S-0-6-43-100024049-100009553-100028700-6312.com

  • Puis, clique sur Look
  • L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport
  • Poste le contenu complet du rapport à la suite

Un autre curieux Member

Un autre curieux

Posté(e)
  • Auteur
Posté(e)

Petit souci, j'ai eu un doute dans la procédure, je n'avais pas, je croyais, désactivé l'antivisus de ma clé u3, alors je l'ai recommencée pour être certain....

 

Voici le contenu complet du rapport

 

SystemLook v1.0 by jpshortstuff (02.03.09)

Log created at 10:26 on 04/04/2009 by Guy (Administrator - Elevation successful)

 

========== filefind ==========

 

Searching for "lsass.exe"

C:\WINDOWS\ServicePackFiles\i386\lsass.exe ------ 13312 bytes [21:14 13/05/2006] [23:34 13/04/2008] 91E6024D6D4DCDECDB36C43ECF9BBECB

C:\WINDOWS\system32\dllcache\lsass.exe --a--c 13312 bytes [12:00 30/08/2002] [23:34 13/04/2008] 91E6024D6D4DCDECDB36C43ECF9BBECB

C:\WINDOWS\system32\lsass.exe --a--- 13312 bytes [12:00 30/08/2002] [23:34 13/04/2008] 91E6024D6D4DCDECDB36C43ECF9BBECB

 

Searching for "S-0-6-43-100024049-100009553-100028700-6312.com"

No files found.

 

-=End Of File=-

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bon :P

 

Télécharge del.reg sur ton Bureau.

  • Double-clique dessus, accepte la fusion.
  • Ce sera très rapide.
  • Supprime ensuite le fichier.

 

Lance Malwarebytes' Anti-Malware (MBAM)

  • Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir.
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Un autre curieux Member

Un autre curieux

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Voici le résultat

 

Malwarebytes' Anti-Malware 1.35

Version de la base de données: 1940

Windows 5.1.2600 Service Pack 3

 

2009-04-04 16:59:56

mbam-log-2009-04-04 (16-59-56).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|K:\|L:\|M:\|N:\|O:\|P:\|Q:\|R:\|S:\|)

Eléments examinés: 276974

Temps écoulé: 2 hour(s), 49 minute(s), 16 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...