[Résolu] Analyse Rapport hijackthis

[killmat]

Bonjour, on ma refilé un ordi infecté des pieds jusqu'à la tête, j'ai bien sur fait la procédure avec Antivir mais il doit quand même rester quelques infections...

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:07:05, on 29/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\RMC.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\ALCMTR.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Apps\Powercinema\PCMService.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\EoRezo\EoEngine.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\WINDOWS\System32\FTRTSVC.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\SARGIA~1\LOCALS~1\Temp\1943033174.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\sargiacomo jonathan\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st#home

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: peer2Peer-FR2 Toolbar - {9f23e207-7e05-4ee2-a90e-50cf3ae9b03f} - C:\Program Files\peer2Peer-FR2\tbpee1.dll

F3 - REG:win.ini: load=System

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,System

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: C:\WINDOWS\system32\hgdfeeeh4fdg.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hgdfeeeh4fdg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: peer2Peer-FR2 Toolbar - {9f23e207-7e05-4ee2-a90e-50cf3ae9b03f} - C:\Program Files\peer2Peer-FR2\tbpee1.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [RMC] C:\WINDOWS\system32\drivers\RMC.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"

O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] C:\DOCUME~1\SARGIA~1\LOCALS~1\Temp\winlognn.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [cscmeia] "c:\documents and settings\sargiacomo jonathan\local settings\application data\cscmeia.exe" cscmeia

O4 - HKCU\..\Run: [jsf8uiw3jnjgffght] C:\DOCUME~1\SARGIA~1\LOCALS~1\Temp\winlognn.exe

O4 - HKCU\..\Run: [cogad] "C:\Documents and Settings\sargiacomo jonathan\Application Data\cogad\cogad.exe" 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe

O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\sargiacomo jonathan\svchost.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Twain] C:\Documents and Settings\sargiacomo jonathan\Application Data\Twain\Twain.exe

O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\SARGIA~1\LOCALS~1\Temp\csrssc.exe

O4 - HKCU\..\Run: [Diagnostic Manager] C:\DOCUME~1\SARGIA~1\LOCALS~1\Temp\1943033174.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hgdfeeeh4fdg.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 10757 bytes

 

Merci d'avance!

Modifié le 29 mars 2009 par killmat

[Falkra]

Bonjour, la machine est très infectée.

 

• Clique sur ce lien de navilog1 de IL-MAFIOSO :
  http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  
• Enregistre le fichier sur ton bureau.
  
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, navilog1 s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  (ne fais pas le choix 2,3 ou 4 sans accord)
  
• Cela dure un moment, attends le message :

  *** Analyse Termine le ..... ***

• Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.
  

 

Note :

Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

[killmat]

Voila le rapport de navilog 1

 

Search Navipromo version 3.7.6 commencé le 29/03/2009 à 16:27:54,12

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Mobile AMD Sempron Processor 3000+ )

BIOS : Insyde Software MobilePRO BIOS Version 4.20.10

USER : sargiacomo jonathan ( Administrator )

BOOT : Normal boot

 

 

 

 

C:\ (Local Disk) - NTFS - Total:70 Go (Free:54 Go)

D:\ (CD or DVD)

E:\ (USB) - FAT32 - Total:7631 Mo (Free:7 Go)

 

 

Recherche executé en mode normal

 

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

...\WebMediaPlayer trouvé !

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\sargiacomo jonathan\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\sargiacomo jonathan\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\sargiacomo jonathan\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\sargiacomo jonathan\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\system32\nvs2.inf trouvé !

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

HKEY_CURRENT_USER\Software\Lanconfig

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cscmeia"="\"c:\\documents and settings\\sargiacomo jonathan\\local settings\\application data\\cscmeia.exe\" cscmeia"

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\sargiacomo jonathan\locals~1\applic~1" :

 

cscmeia.dat trouvé !

cscmeia_nav.dat trouvé !

cscmeia_navps.dat trouvé !

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat Montorgueil absent !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

 

 

*** Analyse terminée le 29/03/2009 à 16:38:44,65 ***

[Falkra]

Ok, on continue (on a plein de trucs à faire).

 

• Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
  
• Au menu principal, choisis 2 et valide.
  
• Le programme va t'informer qu'il va alors redémarrer ton PC.
  
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
  
• Appuie sur une touche comme demandé. Le pc va redémarrer.
  
• Au redémarrage de ton PC, choisis ta session habituelle. Attends le message :

  *** Nettoyage Termine le ..... ***

• Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver.
  
• Referme le Bloc-notes. Ton bureau va réapparaitre
  

 

PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer.exe et valide. Cela fera revenir ton bureau.

 

Note:

Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

[killmat]

Le rapport de nettoyage de navilog 1 :

 

Clean Navipromo version 3.7.6 commencé le 29/03/2009 à 17:00:39,35

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Mobile AMD Sempron Processor 3000+ )

BIOS : Insyde Software MobilePRO BIOS Version 4.20.10

USER : sargiacomo jonathan ( Administrator )

BOOT : Normal boot

 

 

 

 

C:\ (Local Disk) - NTFS - Total:70 Go (Free:54 Go)

D:\ (CD or DVD)

E:\ (USB) - FAT32 - Total:7631 Mo (Free:7 Go)

 

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\WINDOWS\System32" *

 

 

* Suppression dans "C:\Documents and Settings\sargiacomo jonathan\locals~1\applic~1" *

 

 

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

*** Suppression dossiers dans "C:\WINDOWS" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

...\WebMediaPlayer ...suppression...

...\WebMediaPlayer supprimé !

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\sargiacomo jonathan\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\sargiacomo jonathan\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\sargiacomo jonathan\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\sargiacomo jonathan\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\WINDOWS\system32" *

 

 

C:\WINDOWS\prefetch\cscmeia*.pf trouvé !

Copie C:\WINDOWS\prefetch\cscmeia*.pf réalisée avec succès !

C:\WINDOWS\prefetch\cscmeia*.pf supprimé !

 

 

* Dans "C:\Documents and Settings\sargiacomo jonathan\locals~1\applic~1" *

 

 

cscmeia.dat trouvé !

Copie cscmeia.dat réalisée avec succès !

cscmeia.dat supprimé !

 

cscmeia_nav.dat trouvé !

Copie cscmeia_nav.dat réalisée avec succès !

cscmeia_nav.dat supprimé !

 

cscmeia_navps.dat trouvé !

Copie cscmeia_navps.dat réalisée avec succès !

cscmeia_navps.dat supprimé !

 

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

 

* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

*** Recherche autres dossiers et fichiers connus ***

 

 

 

*** Nettoyage terminé le 29/03/2009 à 17:04:31,96 ***

[Falkra]

Ok, parfait, un de moins, on s'occupe du reste, on va donner un grand coup de balai.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[killmat]

Alors la j'ai un problème je l'avais installé pour essayer d'enlever les infections comme un grand, mais je n'avais jamais pu le lancer ou le désintaller, la j'essaye de l'installer par dessus mais l'installation bloque à "extraction des fichiers"...

[Falkra]

Ok, laisse tomber MBAM (provisoirement), on va débloquer ça.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[killmat]

Ok c'est fait, voila le rapport:

 

ComboFix 09-03-28.06 - sargiacomo jonathan 2009-03-29 18:19:07.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.295 [GMT 2:00]

Lancé depuis: c:\documents and settings\sargiacomo jonathan\Bureau\pouet.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer

c:\documents and settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.url

c:\documents and settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.url

c:\documents and settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Désinstaller.lnk

c:\documents and settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\WebMediaPlayer.lnk

c:\documents and settings\All Users\Menu Démarrer\Programmes\WebMediaPlayer\Website.url

c:\documents and settings\sargiacomo jonathan\Application Data\SpeedRunner

c:\documents and settings\sargiacomo jonathan\Local Settings\Temporary Internet Files\bestwiner.stt

c:\documents and settings\sargiacomo jonathan\Local Settings\Temporary Internet Files\fbk.sts

c:\program files\Dynamic Toolbar

c:\program files\Dynamic Toolbar\batch.bat

c:\program files\Dynamic Toolbar\Cache\go.bmp

c:\program files\Dynamic Toolbar\Cache\home.bmp

c:\program files\Dynamic Toolbar\Cache\logo_pb.bmp

c:\program files\Dynamic Toolbar\Cache\parent_off.bmp

c:\program files\Dynamic Toolbar\Cache\parent_on.bmp

c:\program files\Dynamic Toolbar\Cache\pbfrv2tb0200.cfg

c:\program files\Dynamic Toolbar\Cache\popup_off.bmp

c:\program files\Dynamic Toolbar\Cache\popup_on.bmp

c:\program files\Dynamic Toolbar\Cache\search.bmp

c:\program files\Dynamic Toolbar\Cache\services.bmp

c:\program files\Dynamic Toolbar\Cache\skin.bmp

c:\program files\Dynamic Toolbar\Cache\skin1.bmp

c:\program files\Dynamic Toolbar\Cache\skin2.bmp

c:\program files\Dynamic Toolbar\Cache\skin3.bmp

c:\program files\Dynamic Toolbar\Cache\skin4.bmp

c:\program files\Dynamic Toolbar\Cache\skin5.bmp

c:\program files\Dynamic Toolbar\Cache\store.bmp

c:\program files\Dynamic Toolbar\Cache\style.css

c:\program files\Dynamic Toolbar\Cache\support.bmp

c:\program files\Dynamic Toolbar\Cache\ticker.xml

c:\program files\Dynamic Toolbar\PBFRV2\Cache\_Ticker_ticker.txt

c:\program files\Dynamic Toolbar\PBFRV2\Cache\go.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\home.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\logo_pb.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\parent_off.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\parent_on.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\pbfrv2tb0200.cfg

c:\program files\Dynamic Toolbar\PBFRV2\Cache\popup_off.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\popup_on.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\search.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\services.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin1.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin2.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin3.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin4.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin5.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\store.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\style.css

c:\program files\Dynamic Toolbar\PBFRV2\Cache\support.bmp

c:\program files\Dynamic Toolbar\PBFRV2\Cache\ticker.xml

c:\program files\Dynamic Toolbar\unins000.dat

c:\program files\Dynamic Toolbar\unins000.exe

c:\program files\Mjcore

c:\temp\1cb

c:\temp\1cb\syscheck.log

c:\windows\system32\drivers\TDSSmhlt.sys

c:\windows\system32\TDSSarxx.dll

c:\windows\system32\TDSScfbv.dll

c:\windows\system32\TDSSdxcp.dll

c:\windows\system32\TDSSkkai.log

c:\windows\system32\TDSSmtve.dat

c:\windows\system32\TDSSnmxp.log

c:\windows\system32\TDSSoity.dll

c:\windows\system32\TDSSsahc.dll

c:\windows\system32\TDSSvoql.dll

c:\windows\system32\TDSSxhyf.log

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_TDSSSERV.SYS

-------\Legacy_TDSSSERV.SYS

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-29 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-29 18:11 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-29 18:11 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-29 17:40 . 2009-03-29 17:40 244 --ah-c--- C:\sqmnoopt19.sqm

2009-03-29 17:37 . 2009-03-29 17:37 268 --ah-c--- C:\sqmdata19.sqm

2009-03-29 17:37 . 2009-03-29 17:37 244 --ah-c--- C:\sqmnoopt18.sqm

2009-03-29 17:31 . 2009-03-29 17:31 268 --ah-c--- C:\sqmdata17.sqm

2009-03-29 17:31 . 2009-03-29 17:31 244 --ah-c--- C:\sqmnoopt16.sqm

2009-03-29 17:01 . 2009-03-29 17:01 268 --ah-c--- C:\sqmdata18.sqm

2009-03-29 17:01 . 2009-03-29 17:01 244 --ah-c--- C:\sqmnoopt17.sqm

2009-03-29 16:59 . 2009-03-29 16:59 268 --ah-c--- C:\sqmdata16.sqm

2009-03-29 16:59 . 2009-03-29 16:59 244 --ah-c--- C:\sqmnoopt15.sqm

2009-03-29 16:56 . 2009-03-29 18:11 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-03-29 16:56 . 2009-03-29 16:56 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-29 16:27 . 2009-03-29 17:04 <REP> d-------- c:\program files\Navilog1

2009-03-29 16:01 . 2009-03-29 16:07 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-03-29 13:47 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-03-29 13:25 . 2007-10-28 22:28 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-03-29 13:25 . 2007-10-28 22:28 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-03-29 13:25 . 2007-10-28 22:31 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-03-29 13:25 . 2007-10-28 22:31 <REP> dr------- c:\documents and settings\Administrateur\Mes documents

2009-03-29 13:25 . 2007-10-28 22:31 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-03-29 13:25 . 2007-10-28 22:31 <REP> dr------- c:\documents and settings\Administrateur\Favoris

2009-03-29 13:25 . 2009-03-29 13:30 <REP> dr------- c:\documents and settings\Administrateur\Bureau

2009-03-29 13:25 . 2007-10-28 22:28 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver

2009-03-29 13:25 . 2007-10-28 22:28 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Symantec

2009-03-29 13:25 . 2009-03-29 13:25 <REP> d-------- c:\documents and settings\Administrateur

2009-03-03 18:18 . 2009-03-03 18:18 280 --ah-c--- C:\sqmdata15.sqm

2009-03-03 18:18 . 2009-03-03 18:18 244 --ah-c--- C:\sqmnoopt14.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-29 16:14 --------- d-----w c:\documents and settings\sargiacomo jonathan\Application Data\EoRezo

2009-03-29 16:11 --------- d-----w c:\program files\Wanadoo

2009-03-29 16:01 --------- d-----w c:\program files\Steam

2009-03-29 15:32 --------- d-----w c:\program files\Fichiers communs\Symantec Shared

2009-03-29 14:31 --------- d-----w c:\program files\WebShow

2009-03-29 14:30 --------- d-----w c:\documents and settings\sargiacomo jonathan\Application Data\Twain

2009-03-29 14:30 --------- d-----w c:\documents and settings\sargiacomo jonathan\Application Data\cogad

2009-03-29 13:52 --------- d-----w c:\program files\peer2Peer-FR2

2009-03-29 11:53 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-03-29 11:37 --------- d-----w c:\documents and settings\sargiacomo jonathan\Application Data\LimeWire

2009-01-31 11:53 --------- d-----w c:\program files\LimeWire

2009-01-29 18:58 0 ----a-w c:\windows\system32\drivers\7e12e6e4.sys

2009-01-26 19:04 147,456 ----a-w c:\windows\system32\vbzip10.dll

2009-01-26 19:01 15,000 ----a-w c:\windows\system32\hgdfeeeh4fdg.dll

2009-01-11 07:35 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-11-21 20:31 32,768 -csha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008112120081122\index.dat

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{9f23e207-7e05-4ee2-a90e-50cf3ae9b03f}"= "c:\program files\peer2Peer-FR2\tbpee1.dll" [2009-03-29 1883672]

 

[HKEY_CLASSES_ROOT\clsid\{9f23e207-7e05-4ee2-a90e-50cf3ae9b03f}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5BF49A2-94F3-42BD-F434-3604812C8955}]

2009-01-26 21:01 15000 --a------ c:\windows\system32\hgdfeeeh4fdg.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{9f23e207-7e05-4ee2-a90e-50cf3ae9b03f}"= "c:\program files\peer2Peer-FR2\tbpee1.dll" [2009-03-29 1883672]

 

[HKEY_CLASSES_ROOT\clsid\{9f23e207-7e05-4ee2-a90e-50cf3ae9b03f}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{9F23E207-7E05-4EE2-A90E-50CF3AE9B03F}"= "c:\program files\peer2Peer-FR2\tbpee1.dll" [2009-03-29 1883672]

 

[HKEY_CLASSES_ROOT\clsid\{9f23e207-7e05-4ee2-a90e-50cf3ae9b03f}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-13 68856]

"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

"Steam"="c:\program files\Steam\Steam.exe" [2008-12-19 1410296]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"RMC"="c:\windows\system32\drivers\RMC.exe" [2005-03-28 24576]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-04 102490]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-04 708698]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968]

"PCMService"="c:\apps\Powercinema\PCMService.exe" [2005-05-11 127118]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-11-03 98304]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-11 136600]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-11-03 180269]

"EoEngine"="c:\program files\EoRezo\EoEngine.exe" [2008-11-01 472912]

"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-04-13 c:\windows\RTHDCPL.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2005-04-25 36040]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]

"{C5BF49A2-94F3-42BD-F434-3604812C8955}"= "c:\windows\system32\hgdfeeeh4fdg.dll" [2009-01-26 15000]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ACDV"= ACDV.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%ProgramFiles%\\AOL 9.0\\aol.exe"=

"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=

"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\APPS\\Inventime\\my.exe"=

"c:\\Program Files\\AOL 9.0\\waol.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Sports Interactive\\Football Manager 2009\\fm.exe"=

 

R2 MTC0001_RMC;Remove Control Device;c:\windows\system32\drivers\RMC.sys [1980-01-01 13912]

R3 Slazldrv;SmartLink AMR_PCI Driver;c:\windows\system32\drivers\SLDRV\slazldrv.sys [2005-11-03 226768]

R3 ULI5261;ULi Based Ethernet NT Driver;c:\windows\system32\drivers\ULILAN.SYS [1980-01-01 28160]

S1 7e12e6e4;7e12e6e4;c:\windows\system32\drivers\7e12e6e4.sys [2009-01-26 0]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d298fee-d21e-11dd-8ed2-00038a000015}]

\Shell\AutoRun\command - E:\hwpcassistant.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d298fef-d21e-11dd-8ed2-00038a000015}]

\Shell\AutoRun\command - E:\hwpcassistant.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f29cfd3e-ef24-11dd-8f0f-00038a000015}]

\Shell\AutoRun\command - E:\hwpcassistant.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f67c69d8-976c-11dd-8e61-00038a000015}]

\Shell\AutoRun\command - E:\setupSNK.exe

.

Contenu du dossier 'Tâches planifiées'

 

2009-02-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

 

2009-01-26 c:\windows\Tasks\HDReg.job

- c:\apps\HDReg\HDRegRem.exe [2003-07-15 12:14]

 

2007-10-28 c:\windows\Tasks\Rappel d'enregistrement 1.job

- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 04:34]

 

2007-10-28 c:\windows\Tasks\Rappel d'enregistrement 2.job

- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 04:34]

 

2007-10-28 c:\windows\Tasks\Rappel d'enregistrement 3.job

- c:\windows\system32\OOBE\oobebaln.exe [2008-04-14 04:34]

 

2009-01-26 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-cscmeia - c:\documents and settings\sargiacomo jonathan\local settings\application data\cscmeia.exe

HKCU-Run-cogad - c:\documents and settings\sargiacomo jonathan\Application Data\cogad\cogad.exe

HKLM-Run-Device Detector - DevDetect.exe

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://lo.st#home

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: { - c:\program files\Messenger\msmsgs.exe

FF - ProfilePath - c:\documents and settings\sargiacomo jonathan\Application Data\Mozilla\Firefox\Profiles\y85fhwbz.default\

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-29 18:21:43

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime]

"ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(724)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2009-03-29 18:23:20

ComboFix-quarantined-files.txt 2009-03-29 16:22:59

 

Avant-CF: 58,307,530,752 octets libres

Après-CF: 58,313,293,824 octets libres

 

264 --- E O F --- 2009-01-14 19:47:16

 

Malwerbytes' arrive à se lancer maintenant, j'attends votre accord pour scanner...

Modifié le 29 mars 2009 par killmat

[Falkra]

Tu peux faire le scan MBAM, n'oublie pas de le mettre à jour d'abord, surtout !

Poste le rapport obtenu, et vire ce qu'il trouve (voir plus haut).