[Résolu] Infection RKIT/Agent.3488 et TR/PSW.Magania.aven

[avilug]

bonjour à tous

 

d'habitude je demande de l'aide pour des collègues/amis; là, c'est moi qui me suis fais infecter. Comme quoi ...

Voici plusieurs fois en quelques jours que ANTIVIR m'alerte sur 2 fichiers (toujours les mêmes noms), que je mets en quarantaine aussitot :

 

Virus or unwanted program 'TR/PSW.Magania.aven [trojan]'

detected in file 'C:\WINDOWS\system32\mkfght0.dll.

Action performed: Move file to quarantine

 

Virus or unwanted program 'RKIT/Agent.3488 [trojan]'

detected in file 'C:\WINDOWS\system32\drivers\klif.sys.

Action performed: Move file to quarantine

 

Pour gagner du temps (beaucoup de temps)

j'ai passer un coup de

-hijackthis

-mbam

-ccleaner

-antivir scan complet

-navilog (recherche uniquement)

-combofix (recherche uniquement)

c'est parti pour les logs

 

MERCI BEAUCOUP !

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:41:16, on 29/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\WINDOWS\system32\atwtusb.exe

C:\WINDOWS\tsnp2std.exe

C:\WINDOWS\vsnp2std.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\VideoLAN\VLC\vlc.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\TeamViewer\Version4\TeamViewer.exe

H:\download\desinfection\HiJackThis.exe

 

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Barre d'outils Copernic Desktop Search - Home - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - C:\Program Files\Copernic Desktop Search 2\Toolbar\ToolbarContainer101000048.dll

O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [atwtusb] atwtusb.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking9\Ereg.ini

O4 - HKLM\..\Run: [searchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Copernic Desktop Search - Home] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray

O4 - HKCU\..\Run: [ertyuop] C:\WINDOWS\system32\rttrwq.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1230013830828

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O18 - Filter: application/xhtml+xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: application/xhtml+xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

 

--

End of file - 7558 bytes

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

Malwarebytes' Anti-Malware 1.35

Version de la base de données: 1915

Windows 5.1.2600 Service Pack 3

 

29/03/2009 14:49:01

mbam-log-2009-03-29 (14-49-01).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 127453

Temps écoulé: 1 hour(s), 57 minute(s), 23 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ertyuop (Spyware.OnlineGames) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\rttrwq.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

Search Navipromo version 3.7.6 commencé le 29/03/2009 à 16:31:45,76

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : AMD Athlon XP 2800+ )

BIOS : Phoenix - AwardBIOS v6.00PG

USER : David ( Administrator )

BOOT : Normal boot

 

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)

 

 

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:14 Go (Free:4 Go)

D:\ (CD or DVD)

F:\ (CD or DVD)

H:\ (Local Disk) - NTFS - Total:56 Go (Free:2 Go)

I:\ (Local Disk) - NTFS - Total:20 Go (Free:10 Go)

J:\ (Local Disk) - NTFS - Total:3 Go (Free:2 Go)

K:\ (Local Disk) - NTFS - Total:385 Go (Free:19 Go)

 

 

Recherche executé en mode normal

 

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\David\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\David\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\David\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\David\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\David\locals~1\applic~1" :

 

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

 

 

*** Analyse terminée le 29/03/2009 à 16:37:29,50 ***

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

ComboFix 09-03-28.06 - David 2009-03-29 16:39:49.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1471.1003 [GMT 2:00]

Lancé depuis: c:\documents and settings\David\Bureau\DESINFECTION\Combb.exe

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

H:\Autorun.inf

H:\s39tg.cmd

I:\Autorun.inf

I:\s39tg.cmd

J:\Autorun.inf

J:\s39tg.cmd

K:\Autorun.inf

K:\s39tg.cmd

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-29 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-29 16:31 . 2009-03-29 16:37 <REP> d-------- c:\program files\Navilog1

2009-03-29 14:49 . 2009-03-29 14:49 61,440 --a------ c:\windows\system32\drivers\xjbdqgl.sys

2009-03-27 18:24 . 2009-03-27 18:24 <REP> d-------- c:\documents and settings\David\Application Data\Thinstall

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-03-09 14:03 . 2007-11-07 12:36 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-03-09 14:03 . 2007-11-07 14:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-03-09 14:03 . 2009-03-09 14:03 <REP> d-------- c:\documents and settings\Administrateur

2009-03-08 21:34 . 2009-03-08 21:34 <REP> d-------- c:\program files\Alcohol Soft

2009-03-08 21:31 . 2009-03-08 21:31 639,224 --a------ c:\windows\system32\drivers\sptd.sys

2009-03-05 20:43 . 2009-03-05 20:43 <REP> d-------- c:\program files\Q-Dir

2009-03-05 20:43 . 2009-03-05 20:44 <REP> d-------- c:\documents and settings\David\Application Data\Q-Dir

2009-03-05 20:43 . 2009-03-08 14:40 4,446 --a------ c:\windows\Q-Dir.ini

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-27 16:12 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-26 15:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-26 15:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-15 19:30 --------- d-----w c:\program files\eMule

2009-03-15 14:03 --------- d-----w c:\documents and settings\David\Application Data\TeamViewer

2009-03-13 16:55 --------- d-----w c:\documents and settings\David\Application Data\Skype

2009-03-13 15:54 --------- d-----w c:\documents and settings\David\Application Data\skypePM

2009-03-12 21:43 --------- d-----w c:\documents and settings\David\Application Data\Canon

2009-03-09 00:39 --------- d-----w c:\documents and settings\David\Application Data\dvdcss

2009-03-01 20:21 --------- d-----w c:\program files\AskBarDis

2009-02-23 13:41 --------- d-----w c:\program files\Fichiers communs\Skype

2009-02-23 13:41 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-02-23 13:41 --------- d-----r c:\program files\Skype

2009-02-21 21:23 --------- d-----w c:\program files\CDex

2009-02-21 19:38 1,195 ----a-w c:\documents and settings\David\Application Data\SAS7_000.DAT

2009-02-15 19:37 --------- d-----w c:\program files\EDT

2009-02-12 19:12 --------- d-----w c:\program files\RADVideo

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-02-07 21:02 --------- d-----w c:\program files\QT Lite

2009-02-07 21:02 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer

2009-02-07 20:56 --------- d-----w c:\program files\ProtectDisc Driver Installer

2009-02-07 20:56 --------- d-----w c:\documents and settings\David\Application Data\ProtectDisc

2009-02-05 20:28 --------- d-----w c:\documents and settings\David\Application Data\Search Settings

2009-02-05 20:28 --------- d-----w c:\documents and settings\David\Application Data\pdfforge

2009-02-05 20:12 --------- d-----w c:\program files\PDFCreator

2009-02-05 20:11 --------- d-----w c:\program files\pdfforge Toolbar

2009-01-31 22:57 --------- d-----w c:\program files\UtopiaBOX 2.02

2009-01-30 09:28 --------- d-----w c:\program files\Copernic Desktop Search 2

2009-01-30 09:28 --------- d-----w c:\documents and settings\David\Application Data\Copernic

2009-01-28 01:08 --------- d-----w c:\program files\foxit

2009-01-08 22:14 48,208 ----a-w c:\documents and settings\David\Application Data\GDIPFONTCACHEV1.DAT

2008-09-14 13:40 40,559 ----a-w c:\documents and settings\David\Application Data\mdb.bin

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]

2008-11-18 13:58 333192 --a------ c:\program files\AskBarDis\bar\bin\askBar.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]

2009-01-30 16:12 650752 --a------ c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

 

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

 

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Copernic Desktop Search - Home"="c:\program files\Copernic Desktop Search 2\DesktopSearchService.exe" [2008-12-11 1588224]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-07 266497]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2008-08-07 443116]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2008-08-07 90112]

"tsnp2std"="c:\windows\tsnp2std.exe" [2005-09-09 102400]

"snp2std"="c:\windows\vsnp2std.exe" [2005-08-16 339968]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-12-04 406016]

"DNS7reminder"="c:\program files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" [2007-03-19 259624]

"SearchSettings"="c:\program files\pdfforge Toolbar\SearchSettings.exe" [2009-01-30 992256]

"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]

"atwtusb"="atwtusb.exe" [2007-03-20 c:\windows\system32\ATWTUSB.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

"VIDC.MJPG"= Pvmjpg21.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IE New Window Maximizer]

--a------ 2005-02-08 23:06 356352 c:\program files\IE New Window Maximizer\iemaximizer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-02-16 17:15 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-02-16 17:15 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-13 20:34 1695232 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

--------- 2005-02-10 17:00 1937408 c:\program files\Ahead\Nero BackItUp\NBJ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2009-03-06 23:54 24095528 c:\program files\Skype\Phone\Skype.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]

--a------ 2006-10-25 10:03 210472 c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2001-10-02 01:42 10752 c:\program files\Winamp\winampa.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Sun\\SDK\\jdk\\bin\\java.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Documents and Settings\\David\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"61295:TCP"= 61295:TCP:emule

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-16 28544]

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]

S1 aiptektp;Pen Pad;c:\windows\system32\drivers\aiptektp.sys [2008-08-07 22528]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - EBBAKGRA

*Deregistered* - ebbakgra

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

\Shell\AutoRun\command - E:\s39tg.cmd

\Shell\open\Command - E:\s39tg.cmd

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2233fb6-f3ad-11dd-aff7-000c76fd16c0}]

\Shell\AutoRun\command - start.exe

\Shell\iledefrance\command - start.exe

.

.

------- Examen supplémentaire -------

.

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\David\Application Data\Mozilla\Firefox\Profiles\efg79632.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - component: c:\program files\Copernic Desktop Search 2\FirefoxConnector\components\CSPXPCOMBridge.dll

FF - component: c:\program files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll

FF - component: c:\program files\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

.

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-29 16:40:57

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,f7,1b,78,81,41,

d6,38,8e,c8,28,51,af,b0,29,a3,98,03,12,57,ac,75,45,07,d9,e2,63,26,f1,3f,c8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,96,51,5b,0e,d9,

00,88,54,71,3b,04,66,8b,46,0d,96,60,f0,13,5c,02,16,bf,c9,6a,9c,d6,61,af,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,d9,4c,4f,fe,b5,

c6,32,49,25,da,ec,7e,55,20,c9,26,3d,25,65,c8,45,89,18,33,ff,7c,85,e0,43,d4,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,56,cf,71,a7,58,

63,62,12,3e,1e,9e,e0,57,5a,93,61,e4,0a,46,91,b1,c7,6e,ce,86,8c,21,01,be,91,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,75,a5,fd,51,59,

71,47,18,cd,44,cd,b9,a6,33,6c,cd,31,e1,67,f4,fb,29,e7,46,f5,1d,4d,73,a8,13,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,50,56,d7,0b,66,

37,22,5b,b0,18,ed,a7,3f,8d,37,a4,a8,3f,1d,67,cd,ec,86,23,df,20,58,62,78,6b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,b2,e1,e1,8a,fd,

28,da,58,31,77,e1,ba,b1,f8,68,02,c5,dc,d1,fe,f1,6d,ae,e7,fb,a7,78,e6,12,2f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,07,b5,95,3e,6c,

f4,4e,18,83,6c,56,8b,a0,85,96,ab,04,c8,36,25,f9,3b,2d,c2,01,3a,48,fc,e8,04,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,ab,48,39,b3,1e,

58,09,52,51,fa,6e,91,28,9e,14,cc,14,e6,d1,2a,1b,a3,b7,e5,f6,0f,4e,58,98,5b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,a7,a2,3a,76,eb,

e8,94,b0,b1,cd,45,5a,a8,c4,f8,b9,75,99,7a,56,b8,85,2f,96,3d,ce,ea,26,2d,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,22,28,6f,f6,8d,

9e,06,fc,e3,0e,66,d5,eb,bc,2f,6b,61,55,bf,4e,00,0f,0c,d8,2a,b7,cc,b5,b9,7f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,8e,ca,95,34,bd,

bd,3f,74,fa,ea,66,7f,d4,3b,6b,70,2c,39,86,63,58,65,f1,03,6c,43,2d,1e,aa,22,\

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(852)

c:\windows\system32\cscui.dll

.

Heure de fin: 2009-03-29 16:42:52

ComboFix-quarantined-files.txt 2009-03-29 14:42:34

 

Avant-CF: 4 398 370 816 octets libres

Après-CF: 4,424,167,424 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

259 --- E O F --- 2009-03-27 15:58:35

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

 

(mbam est le seul à avoir trouvé qqchose)

 

j'espère que mon post garde une certaine lisibilité !

 

 

ENCORE MERCI !

Modifié le 31 mars 2009 par avilug

[Gof]

Bonjour avilug

 

Tu as utilisé pas mal d'outils différents de ta propre initiative. Ce n'est pas toujours très prudent. Tu annotes, par exemple, " -combofix (recherche uniquement) " ; mais ComboFix ne fonctionne pas comme cela. Il ne fournit pas de recherche uniquement, il traite. C'est un outil puissant que je déconseille aux internautes d'utiliser sans aide. Mal utilisé, il peut faire plus de mal que de bien.

 

Manifestement, ton infection se propageait par supports amovibles. Ce qui fait que tu te réinfectais tout le temps, malgré l'intervention d'Antivir. L'infection avait donc contaminé toutes tes partitions, et sans doute que tous tes supports amovibles le sont aussi. Un support amovible, cela correspond à une clé usb, une carte flash (que celle-ci soit insérée directement dans un lecteur présent sur le pc, ou branchée via un appareil photo, ou une imprimante), un disque dur externe, un lecteur MP3, une caméra, etc.

 

Branche donc tous tes support amovibles, sans les ouvrir. Démarre-les juste quand c(est nécessaire (dans le cas d'un disque dur externe par exemple). Les brancher tous permettra de les traiter, sinon ils seront ignorés par les outils.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Puis, télécharge autoavilug.bat sur ton Bureau.

• Double-clique dessus pour l'exécuter, laisse travailler.
  
• Une fenêtre noire va s'ouvrir, laisse faire.
  
• L'outil ne génèrera pas de rapports.
  
• Quand il sera fini, la fenêtre noire se fermera toute seule.
  Ce dernier fichier va verrouiller un répertoire autorun.inf - vaccin sur tes partitions, de sorte que ce type d'infections ne se propage plus sur ton système de cette manière là.
  

[avilug]

bonjour Gof

 

merci de ta prise en charge !

 

effectivement, c'est pas malin de ma part, moi qui croyait que tous les modes recherches des utilitaires étaient inoffensifs...

 

Ce qui m'ennuie, c'est que je peux désinfecter toutes mes partitions mais, les autres Hd que j'ai récemment branché cette semaine (j'ai fait des copies hd à hd) , sont-ils aussi vérollés ?

en fait ma question est : puis-je appliquer PLUSIEURS fois la procédure que tu me décris, sachant que je ne peux pas brancher tous les hd utilisés en même temps ? et s'ils ont été installés sur un autre PC , quel scan dois-je faire pour savoir s'ils ont la même infection ? (c'est quoi le nom de cette infection, d'ailleurs ???)

 

désolé, bcp de questions, mais je veux faire une VRAIE procédure en suivant A LA LETTRE , cette fois , ce que tu me décriras !!!

 

merci encore.

 

edit : j'attends ta réponses pour les manip, au cas où !

Modifié le 29 mars 2009 par avilug

[Gof]

Bonjour avilug

 

Ce qui m'ennuie, c'est que je peux désinfecter toutes mes partitions mais, les autres Hd que j'ai récemment branché cette semaine (j'ai fait des copies hd à hd) , sont-ils aussi vérollés ?

Très probablement oui.

 

En effet, si tu as plusieurs supports amovibles, tu renouvelles la même démarche à chaque fois.

 

Les rapports s'accumuleront ici : c:\combofix(numéro).txt. Il faudra donc me les poster en conséquence.

[avilug]

bonjour gof !

 

voici les rapports :

 

 

ComboFix 09-03-29.02 - David 2009-03-30 14:10:56.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1471.1075 [GMT 2:00]

Lancé depuis: c:\documents and settings\David\Bureau\DESINFECTION\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\David\Bureau\DESINFECTION\CFScript.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\system32\drivers\xjbdqgl.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\David\Application Data\Search Settings

c:\documents and settings\David\Application Data\Search Settings\kb128\temp\ws-14333.log

E:\Autorun.inf

e:\recycler\Desktop_.ini

E:\s39tg.cmd

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-30 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-30 13:53 . 2009-03-30 13:59 <REP> d-------- C:\Combb

2009-03-29 22:25 . 2009-03-29 22:25 <REP> d--h----- c:\documents and settings\All Users\Application Data\CanonIJScan

2009-03-29 22:22 . 2009-03-29 22:22 <REP> d--h----- c:\windows\system32\CanonIJ Uninstaller Information

2009-03-29 22:22 . 2009-03-29 22:22 <REP> d--h----- c:\program files\CanonBJ

2009-03-29 22:22 . 2008-04-07 16:58 1,339,392 --a------ c:\windows\system32\CNQ4807C.DLL

2009-03-29 22:22 . 2008-04-18 15:51 598,016 --a------ c:\windows\system32\CNQ4807L.DLL

2009-03-29 22:22 . 2007-03-15 16:12 188,416 --a------ c:\windows\system32\CNQ4807O.DLL

2009-03-29 22:22 . 2008-04-07 16:58 98,304 --a------ c:\windows\system32\CNQ4807I.DLL

2009-03-29 19:01 . 2009-03-29 11:58 23,911,893 --a------ C:\ivdf_fusebundle_nt_en.zip

2009-03-29 16:31 . 2009-03-29 22:21 <REP> d-------- c:\program files\Navilog1

2009-03-27 18:24 . 2009-03-27 18:24 <REP> d-------- c:\documents and settings\David\Application Data\Thinstall

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-03-09 14:03 . 2007-11-07 12:36 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-03-09 14:03 . 2007-11-07 14:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-03-09 14:03 . 2009-03-09 14:03 <REP> d-------- c:\documents and settings\Administrateur

2009-03-08 21:34 . 2009-03-08 21:34 <REP> d-------- c:\program files\Alcohol Soft

2009-03-08 21:31 . 2009-03-08 21:31 639,224 --a------ c:\windows\system32\drivers\sptd.sys

2009-03-05 20:43 . 2009-03-05 20:43 <REP> d-------- c:\program files\Q-Dir

2009-03-05 20:43 . 2009-03-05 20:44 <REP> d-------- c:\documents and settings\David\Application Data\Q-Dir

2009-03-05 20:43 . 2009-03-08 14:40 4,446 --a------ c:\windows\Q-Dir.ini

2009-02-23 15:41 . 2009-02-23 15:41 <REP> d-------- c:\program files\Fichiers communs\Skype

2009-02-12 21:24 . 2004-03-07 02:03 4,259,840 --a------ C:\VideoOut.avi

2009-02-12 21:12 . 2009-02-12 21:12 <REP> d-------- c:\program files\RADVideo

2009-02-12 00:10 . 2009-02-12 00:10 863,514 --a------ C:\1.bmp

2009-02-07 23:02 . 2009-02-07 23:02 <REP> d-------- c:\program files\QT Lite

2009-02-07 23:02 . 2009-02-07 23:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer

2009-02-07 23:02 . 2008-09-06 16:09 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx

2009-02-07 23:02 . 2008-09-06 16:09 57,344 --a------ c:\windows\system32\QuickTime.qts

2009-02-07 22:56 . 2009-02-07 22:56 <REP> d-------- c:\program files\ProtectDisc Driver Installer

2009-02-07 22:56 . 2009-02-07 22:56 <REP> d-------- c:\documents and settings\David\Application Data\ProtectDisc

2009-02-05 22:28 . 2009-02-05 22:28 <REP> d-------- c:\documents and settings\David\Application Data\pdfforge

2009-02-05 22:11 . 2009-02-05 22:11 <REP> d-------- c:\program files\pdfforge Toolbar

2009-02-05 22:11 . 2009-02-05 22:12 <REP> d-------- c:\program files\PDFCreator

2009-02-05 22:11 . 1998-06-24 01:00 137,000 --a------ c:\windows\system32\MSMAPI32.OCX

2009-02-05 22:11 . 2001-10-28 17:42 116,224 --a------ c:\windows\system32\pdfcmnnt.dll

2009-02-05 22:11 . 1998-07-06 01:00 23,552 --a------ c:\windows\system32\MSMPIDE.DLL

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-29 20:25 --------- d-----w c:\documents and settings\David\Application Data\Canon

2009-03-29 20:23 --------- d-----w c:\program files\Canon

2009-03-27 16:12 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-26 15:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-26 15:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-15 19:30 --------- d-----w c:\program files\eMule

2009-03-15 14:03 --------- d-----w c:\documents and settings\David\Application Data\TeamViewer

2009-03-13 16:55 --------- d-----w c:\documents and settings\David\Application Data\Skype

2009-03-13 15:54 --------- d-----w c:\documents and settings\David\Application Data\skypePM

2009-03-09 00:39 --------- d-----w c:\documents and settings\David\Application Data\dvdcss

2009-02-23 13:41 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-02-23 13:41 --------- d-----r c:\program files\Skype

2009-02-21 21:23 --------- d-----w c:\program files\CDex

2009-02-21 19:38 1,195 ----a-w c:\documents and settings\David\Application Data\SAS7_000.DAT

2009-02-15 19:37 --------- d-----w c:\program files\EDT

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-01-31 22:57 --------- d-----w c:\program files\UtopiaBOX 2.02

2009-01-30 09:28 --------- d-----w c:\program files\Copernic Desktop Search 2

2009-01-30 09:28 --------- d-----w c:\documents and settings\David\Application Data\Copernic

2009-01-28 01:08 --------- d-----w c:\program files\foxit

2009-01-08 22:14 48,208 ----a-w c:\documents and settings\David\Application Data\GDIPFONTCACHEV1.DAT

2008-12-20 23:29 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll

2008-09-14 13:40 40,559 ----a-w c:\documents and settings\David\Application Data\mdb.bin

.

 

((((((((((((((((((((((((((((( SnapShot_2009-03-30_13.58.20,82 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-03-30 12:05:25 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_21c.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]

2009-01-30 16:12 650752 --a------ c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

 

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Copernic Desktop Search - Home"="c:\program files\Copernic Desktop Search 2\DesktopSearchService.exe" [2008-12-11 1588224]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-07 266497]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2008-08-07 443116]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2008-08-07 90112]

"tsnp2std"="c:\windows\tsnp2std.exe" [2005-09-09 102400]

"snp2std"="c:\windows\vsnp2std.exe" [2005-08-16 339968]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-12-04 406016]

"DNS7reminder"="c:\program files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" [2007-03-19 259624]

"SearchSettings"="c:\program files\pdfforge Toolbar\SearchSettings.exe" [2009-01-30 992256]

"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]

"atwtusb"="atwtusb.exe" [2007-03-20 c:\windows\system32\ATWTUSB.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

"VIDC.MJPG"= Pvmjpg21.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IE New Window Maximizer]

--a------ 2005-02-08 23:06 356352 c:\program files\IE New Window Maximizer\iemaximizer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-02-16 17:15 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-02-16 17:15 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-13 20:34 1695232 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

--------- 2005-02-10 17:00 1937408 c:\program files\Ahead\Nero BackItUp\NBJ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2009-03-06 23:54 24095528 c:\program files\Skype\Phone\Skype.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]

--a------ 2006-10-25 10:03 210472 c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2001-10-02 01:42 10752 c:\program files\Winamp\winampa.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Sun\\SDK\\jdk\\bin\\java.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Documents and Settings\\David\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"61295:TCP"= 61295:TCP:emule

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-16 28544]

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]

S1 aiptektp;Pen Pad;c:\windows\system32\drivers\aiptektp.sys [2008-08-07 22528]

.

.

------- Examen supplémentaire -------

.

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\David\Application Data\Mozilla\Firefox\Profiles\efg79632.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - component: c:\program files\Copernic Desktop Search 2\FirefoxConnector\components\CSPXPCOMBridge.dll

FF - component: c:\program files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll

FF - component: c:\program files\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-30 14:13:56

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,f7,1b,78,81,41,

d6,38,8e,c8,28,51,af,b0,29,a3,98,03,12,57,ac,75,45,07,d9,e2,63,26,f1,3f,c8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,96,51,5b,0e,d9,

00,88,54,71,3b,04,66,8b,46,0d,96,60,f0,13,5c,02,16,bf,c9,6a,9c,d6,61,af,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,d9,4c,4f,fe,b5,

c6,32,49,25,da,ec,7e,55,20,c9,26,3d,25,65,c8,45,89,18,33,ff,7c,85,e0,43,d4,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,56,cf,71,a7,58,

63,62,12,3e,1e,9e,e0,57,5a,93,61,e4,0a,46,91,b1,c7,6e,ce,86,8c,21,01,be,91,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,75,a5,fd,51,59,

71,47,18,cd,44,cd,b9,a6,33,6c,cd,31,e1,67,f4,fb,29,e7,46,f5,1d,4d,73,a8,13,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,50,56,d7,0b,66,

37,22,5b,b0,18,ed,a7,3f,8d,37,a4,a8,3f,1d,67,cd,ec,86,23,df,20,58,62,78,6b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,b2,e1,e1,8a,fd,

28,da,58,31,77,e1,ba,b1,f8,68,02,c5,dc,d1,fe,f1,6d,ae,e7,fb,a7,78,e6,12,2f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,07,b5,95,3e,6c,

f4,4e,18,83,6c,56,8b,a0,85,96,ab,04,c8,36,25,f9,3b,2d,c2,01,3a,48,fc,e8,04,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,ab,48,39,b3,1e,

58,09,52,51,fa,6e,91,28,9e,14,cc,14,e6,d1,2a,1b,a3,b7,e5,f6,0f,4e,58,98,5b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,a7,a2,3a,76,eb,

e8,94,b0,b1,cd,45,5a,a8,c4,f8,b9,75,99,7a,56,b8,85,2f,96,3d,ce,ea,26,2d,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,22,28,6f,f6,8d,

9e,06,fc,e3,0e,66,d5,eb,bc,2f,6b,61,55,bf,4e,00,0f,0c,d8,2a,b7,cc,b5,b9,7f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,8e,ca,95,34,bd,

bd,3f,74,fa,ea,66,7f,d4,3b,6b,70,2c,39,86,63,58,65,f1,03,6c,43,2d,1e,aa,22,\

.

Heure de fin: 2009-03-30 14:16:40

ComboFix-quarantined-files.txt 2009-03-30 12:16:10

ComboFix2.txt 2009-03-30 11:59:24

ComboFix3.txt 2009-03-29 14:42:54

 

Avant-CF: 4 252 831 744 octets libres

Après-CF: 4,239,486,976 octets libres

 

252 --- E O F --- 2009-03-27 15:58:35

 

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

 

ComboFix 09-03-29.02 - David 2009-03-30 13:54:57.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1471.1094 [GMT 2:00]

Lancé depuis: c:\documents and settings\David\Bureau\DESINFECTION\Combb.exe

Commutateurs utilisés :: c:\documents and settings\David\Bureau\DESINFECTION\CFScript.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\system32\drivers\xjbdqgl.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\David\Application Data\Search Settings

c:\documents and settings\David\Application Data\Search Settings\kb128\temp\ws-14330.log

c:\program files\AskBarDis

c:\program files\AskBarDis\bar\bin\askBar.dll

c:\program files\AskBarDis\bar\bin\askPopStp.dll

c:\program files\AskBarDis\bar\bin\psvince.dll

c:\program files\AskBarDis\bar\Cache\0A3D4DE4

c:\program files\AskBarDis\bar\Cache\0A3D52C6.bin

c:\program files\AskBarDis\bar\Cache\0A3D5547.bin

c:\program files\AskBarDis\bar\Cache\0A3D58A2.bin

c:\program files\AskBarDis\bar\Cache\0A3D5AA6.bin

c:\program files\AskBarDis\bar\Cache\0A3D5D36.bin

c:\program files\AskBarDis\bar\Cache\0A3D5EEC.bin

c:\program files\AskBarDis\bar\Cache\0A3D6072.bin

c:\program files\AskBarDis\bar\Cache\0A3D6276.bin

c:\program files\AskBarDis\bar\Cache\0A3D64C8.bin

c:\program files\AskBarDis\bar\Cache\0A3D6748.bin

c:\program files\AskBarDis\bar\Cache\files.ini

c:\program files\AskBarDis\bar\History\search

c:\program files\AskBarDis\bar\Settings\config.dat

c:\program files\AskBarDis\bar\Settings\config.dat.bak

c:\program files\AskBarDis\bar\Settings\prevcfg.htm

c:\program files\AskBarDis\bar\Settings\prevCfg2.htm

c:\program files\AskBarDis\PopSwatter\History\notallow

c:\program files\AskBarDis\unins000.dat

c:\program files\AskBarDis\unins000.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-30 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-29 22:25 . 2009-03-29 22:25 <REP> d--h----- c:\documents and settings\All Users\Application Data\CanonIJScan

2009-03-29 22:22 . 2009-03-29 22:22 <REP> d--h----- c:\windows\system32\CanonIJ Uninstaller Information

2009-03-29 22:22 . 2009-03-29 22:22 <REP> d--h----- c:\program files\CanonBJ

2009-03-29 22:22 . 2008-04-07 16:58 1,339,392 --a------ c:\windows\system32\CNQ4807C.DLL

2009-03-29 22:22 . 2008-04-18 15:51 598,016 --a------ c:\windows\system32\CNQ4807L.DLL

2009-03-29 22:22 . 2007-03-15 16:12 188,416 --a------ c:\windows\system32\CNQ4807O.DLL

2009-03-29 22:22 . 2008-04-07 16:58 98,304 --a------ c:\windows\system32\CNQ4807I.DLL

2009-03-29 19:01 . 2009-03-29 11:58 23,911,893 --a------ C:\ivdf_fusebundle_nt_en.zip

2009-03-29 16:31 . 2009-03-29 22:21 <REP> d-------- c:\program files\Navilog1

2009-03-27 18:24 . 2009-03-27 18:24 <REP> d-------- c:\documents and settings\David\Application Data\Thinstall

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-03-09 14:03 . 2007-11-07 12:36 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-03-09 14:03 . 2007-11-07 14:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-03-09 14:03 . 2009-03-09 14:03 <REP> d-------- c:\documents and settings\Administrateur

2009-03-08 21:34 . 2009-03-08 21:34 <REP> d-------- c:\program files\Alcohol Soft

2009-03-08 21:31 . 2009-03-08 21:31 639,224 --a------ c:\windows\system32\drivers\sptd.sys

2009-03-05 20:43 . 2009-03-05 20:43 <REP> d-------- c:\program files\Q-Dir

2009-03-05 20:43 . 2009-03-05 20:44 <REP> d-------- c:\documents and settings\David\Application Data\Q-Dir

2009-03-05 20:43 . 2009-03-08 14:40 4,446 --a------ c:\windows\Q-Dir.ini

2009-02-23 15:41 . 2009-02-23 15:41 <REP> d-------- c:\program files\Fichiers communs\Skype

2009-02-12 21:24 . 2004-03-07 02:03 4,259,840 --a------ C:\VideoOut.avi

2009-02-12 21:12 . 2009-02-12 21:12 <REP> d-------- c:\program files\RADVideo

2009-02-12 00:10 . 2009-02-12 00:10 863,514 --a------ C:\1.bmp

2009-02-07 23:02 . 2009-02-07 23:02 <REP> d-------- c:\program files\QT Lite

2009-02-07 23:02 . 2009-02-07 23:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer

2009-02-07 23:02 . 2008-09-06 16:09 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx

2009-02-07 23:02 . 2008-09-06 16:09 57,344 --a------ c:\windows\system32\QuickTime.qts

2009-02-07 22:56 . 2009-02-07 22:56 <REP> d-------- c:\program files\ProtectDisc Driver Installer

2009-02-07 22:56 . 2009-02-07 22:56 <REP> d-------- c:\documents and settings\David\Application Data\ProtectDisc

2009-02-05 22:28 . 2009-02-05 22:28 <REP> d-------- c:\documents and settings\David\Application Data\pdfforge

2009-02-05 22:11 . 2009-02-05 22:11 <REP> d-------- c:\program files\pdfforge Toolbar

2009-02-05 22:11 . 2009-02-05 22:12 <REP> d-------- c:\program files\PDFCreator

2009-02-05 22:11 . 1998-06-24 01:00 137,000 --a------ c:\windows\system32\MSMAPI32.OCX

2009-02-05 22:11 . 2001-10-28 17:42 116,224 --a------ c:\windows\system32\pdfcmnnt.dll

2009-02-05 22:11 . 1998-07-06 01:00 23,552 --a------ c:\windows\system32\MSMPIDE.DLL

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-29 20:25 --------- d-----w c:\documents and settings\David\Application Data\Canon

2009-03-29 20:23 --------- d-----w c:\program files\Canon

2009-03-27 16:12 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-26 15:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-26 15:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-15 19:30 --------- d-----w c:\program files\eMule

2009-03-15 14:03 --------- d-----w c:\documents and settings\David\Application Data\TeamViewer

2009-03-13 16:55 --------- d-----w c:\documents and settings\David\Application Data\Skype

2009-03-13 15:54 --------- d-----w c:\documents and settings\David\Application Data\skypePM

2009-03-09 00:39 --------- d-----w c:\documents and settings\David\Application Data\dvdcss

2009-02-23 13:41 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-02-23 13:41 --------- d-----r c:\program files\Skype

2009-02-21 21:23 --------- d-----w c:\program files\CDex

2009-02-21 19:38 1,195 ----a-w c:\documents and settings\David\Application Data\SAS7_000.DAT

2009-02-15 19:37 --------- d-----w c:\program files\EDT

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-01-31 22:57 --------- d-----w c:\program files\UtopiaBOX 2.02

2009-01-30 09:28 --------- d-----w c:\program files\Copernic Desktop Search 2

2009-01-30 09:28 --------- d-----w c:\documents and settings\David\Application Data\Copernic

2009-01-28 01:08 --------- d-----w c:\program files\foxit

2009-01-08 22:14 48,208 ----a-w c:\documents and settings\David\Application Data\GDIPFONTCACHEV1.DAT

2008-12-20 23:29 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll

2008-09-14 13:40 40,559 ----a-w c:\documents and settings\David\Application Data\mdb.bin

.

 

((((((((((((((((((((((((((((( SnapShot@2009-03-29_16.41.26,75 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-02-14 12:07:30 590,680 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\DelDrv.exe

+ 2008-02-11 10:25:24 49,664 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstAR.dll

+ 2008-02-03 16:30:12 49,664 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstCN.dll

+ 2008-02-11 10:25:26 50,688 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstCZ.dll

+ 2008-02-11 10:25:28 57,344 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstDE.dll

+ 2008-02-11 10:25:32 50,688 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstDK.dll

+ 2008-02-19 10:46:24 54,784 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstES.dll

+ 2008-02-11 10:25:36 50,688 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstFI.dll

+ 2008-02-18 09:56:10 54,784 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstFR.dll

+ 2008-02-11 10:25:42 57,344 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstGR.dll

+ 2008-02-11 10:25:44 51,712 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstHU.dll

+ 2008-02-03 17:13:44 51,200 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstID.dll

+ 2008-02-11 10:25:46 54,272 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstIT.dll

+ 2008-02-14 11:56:29 38,912 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstJP.dll

+ 2008-02-03 16:52:28 49,664 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstKR.dll

+ 2008-02-11 10:25:50 53,760 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstNL.dll

+ 2008-02-11 10:25:52 50,176 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstNO.dll

+ 2008-02-18 09:56:14 53,760 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstPL.dll

+ 2008-02-11 10:25:56 51,712 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstPT.dll

+ 2008-02-11 10:26:00 52,736 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstRU.dll

+ 2008-02-11 10:26:02 50,176 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstSE.dll

+ 2008-02-03 16:58:34 49,664 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstTH.dll

+ 2008-02-11 10:26:04 50,688 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstTR.dll

+ 2008-02-03 16:45:28 49,664 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstTW.dll

+ 2008-02-14 11:56:28 49,664 ----a-r c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4807\RES\DLL\IJInstUS.dll

+ 2009-03-30 08:20:11 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_228.dat

+ 2007-10-24 13:36:58 118,784 ----a-w c:\windows\twain_32\CNQ4807\AG.DLL

+ 2005-04-15 15:34:36 57,344 ----a-w c:\windows\twain_32\CNQ4807\BaLCo.dll

+ 2007-11-05 20:14:46 14,848 ----a-w c:\windows\twain_32\CNQ4807\caddisnt.dll

+ 2008-03-19 16:36:50 118,784 ----a-w c:\windows\twain_32\CNQ4807\CAPS.DLL

+ 2005-08-24 15:51:00 126,976 ----a-w c:\windows\twain_32\CNQ4807\CFine2.dll

+ 2008-04-03 13:26:00 30,720 ----a-w c:\windows\twain_32\CNQ4807\CNQ4807.DAT

+ 2008-03-26 13:26:34 393,216 ----a-w c:\windows\twain_32\CNQ4807\CNQ4807N.DAT

+ 2008-03-05 16:19:40 148,200 ----a-w c:\windows\twain_32\CNQ4807\CNQ4807P.DAT

+ 2008-01-08 11:04:18 2,102,320 ----a-w c:\windows\twain_32\CNQ4807\CNQ4807R.DAT

+ 2008-05-08 15:04:22 172,032 ----a-w c:\windows\twain_32\CNQ4807\CUBS.DLL

+ 2008-02-12 15:42:24 73,728 ----a-w c:\windows\twain_32\CNQ4807\DDT.dll

+ 2006-04-13 15:43:30 53,248 ----a-w c:\windows\twain_32\CNQ4807\HSL.DLL

+ 2007-12-06 13:46:10 73,728 ----a-w c:\windows\twain_32\CNQ4807\IJFSHLIB.DLL

+ 2008-05-08 19:57:25 188,416 ----a-w c:\windows\twain_32\CNQ4807\IOP.DLL

+ 2008-05-08 19:58:48 38,401 ----a-w c:\windows\twain_32\CNQ4807\IPM.DAT

+ 2008-05-08 19:58:28 151,552 ----a-w c:\windows\twain_32\CNQ4807\IPM.DLL

+ 2008-04-17 13:20:42 94,208 ----a-w c:\windows\twain_32\CNQ4807\JPRCV.dll

+ 2004-06-07 12:58:04 290,816 ----a-w c:\windows\twain_32\CNQ4807\libBLC.dll

+ 2008-01-24 10:33:36 139,264 ----a-w c:\windows\twain_32\CNQ4807\MC2.DLL

+ 2008-02-12 15:42:28 90,112 ----a-w c:\windows\twain_32\CNQ4807\MC2Plus.dll

+ 2008-01-23 16:45:24 454,656 ----a-w c:\windows\twain_32\CNQ4807\RACSLIB.dll

+ 2007-09-11 14:21:00 86,016 ----a-w c:\windows\twain_32\CNQ4807\RSTCOL.DLL

+ 2008-05-08 19:57:18 151,552 ----a-w c:\windows\twain_32\CNQ4807\SCANINTF.DLL

+ 2005-02-02 18:34:44 118,784 ----a-w c:\windows\twain_32\CNQ4807\SCRPRMV.DLL

+ 2007-07-02 11:04:30 114,688 ----a-w c:\windows\twain_32\CNQ4807\SCRPRMVL.DLL

+ 2008-04-03 14:53:14 1,159,168 ----a-w c:\windows\twain_32\CNQ4807\SGCFLTR.DLL

+ 2008-04-22 14:26:00 1,912,832 ----a-w c:\windows\twain_32\CNQ4807\SGRES_AR.DLL

+ 2008-04-22 14:25:57 1,875,968 ----a-w c:\windows\twain_32\CNQ4807\SGRES_CN.DLL

+ 2008-04-22 14:25:56 1,916,928 ----a-w c:\windows\twain_32\CNQ4807\SGRES_CZ.DLL

+ 2008-04-22 14:25:54 1,925,120 ----a-w c:\windows\twain_32\CNQ4807\SGRES_DE.DLL

+ 2008-04-22 14:25:53 1,916,928 ----a-w c:\windows\twain_32\CNQ4807\SGRES_DK.DLL

+ 2008-04-22 14:25:51 1,929,216 ----a-w c:\windows\twain_32\CNQ4807\SGRES_ES.DLL

+ 2008-04-22 14:25:50 1,916,928 ----a-w c:\windows\twain_32\CNQ4807\SGRES_FI.DLL

+ 2008-04-22 14:25:47 1,925,120 ----a-w c:\windows\twain_32\CNQ4807\SGRES_FR.DLL

+ 2008-04-22 14:25:47 1,929,216 ----a-w c:\windows\twain_32\CNQ4807\SGRES_GR.DLL

+ 2008-04-22 14:25:43 1,921,024 ----a-w c:\windows\twain_32\CNQ4807\SGRES_HU.DLL

+ 2008-04-22 14:26:02 1,916,928 ----a-w c:\windows\twain_32\CNQ4807\SGRES_ID.DLL

+ 2008-04-22 14:22:04 1,929,216 ----a-w c:\windows\twain_32\CNQ4807\SGRES_IT.DLL

+ 2008-05-08 19:57:00 1,888,256 ----a-w c:\windows\twain_32\CNQ4807\SGRES_JP.DLL

+ 2008-04-22 14:21:01 1,888,256 ----a-w c:\windows\twain_32\CNQ4807\SGRES_KR.DLL

+ 2008-04-22 14:20:58 1,925,120 ----a-w c:\windows\twain_32\CNQ4807\SGRES_NL.DLL

+ 2008-04-22 14:20:58 1,916,928 ----a-w c:\windows\twain_32\CNQ4807\SGRES_NO.DLL

+ 2008-04-22 14:20:55 1,921,024 ----a-w c:\windows\twain_32\CNQ4807\SGRES_PL.DLL

+ 2008-04-22 14:20:55 1,925,120 ----a-w c:\windows\twain_32\CNQ4807\SGRES_PT.DLL

+ 2008-04-22 14:20:52 1,921,024 ----a-w c:\windows\twain_32\CNQ4807\SGRES_RU.DLL

+ 2008-04-22 14:20:49 1,916,928 ----a-w c:\windows\twain_32\CNQ4807\SGRES_SE.DLL

+ 2008-04-22 14:20:52 1,908,736 ----a-w c:\windows\twain_32\CNQ4807\SGRES_TH.DLL

+ 2008-04-22 14:23:42 1,912,832 ----a-w c:\windows\twain_32\CNQ4807\SGRES_TR.DLL

+ 2008-04-22 14:26:06 1,875,968 ----a-w c:\windows\twain_32\CNQ4807\SGRES_TW.DLL

+ 2008-05-08 19:56:58 1,912,832 ----a-w c:\windows\twain_32\CNQ4807\SGRES_US.DLL

+ 2008-05-08 19:58:22 1,232,896 ----a-w c:\windows\twain_32\CNQ4807\SGUI.DLL

+ 2007-12-03 17:33:26 102,400 ----a-w c:\windows\twain_32\CNQ4807\softfare.dll

+ 2008-05-08 19:57:49 532,480 ----a-w c:\windows\twain_32\CNQ4807\TPM.DLL

+ 2008-04-22 14:28:45 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESAR.DLL

+ 2008-04-22 14:28:25 4,096 ----a-w c:\windows\twain_32\CNQ4807\USDRESCN.DLL

+ 2008-04-22 14:28:52 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESCZ.DLL

+ 2008-04-22 14:28:44 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESDE.DLL

+ 2008-04-22 14:28:43 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESDK.DLL

+ 2008-04-22 14:28:42 5,120 ----a-w c:\windows\twain_32\CNQ4807\USDRESES.DLL

+ 2008-04-22 14:28:42 5,120 ----a-w c:\windows\twain_32\CNQ4807\USDRESFI.DLL

+ 2008-04-22 14:28:41 5,120 ----a-w c:\windows\twain_32\CNQ4807\USDRESFR.DLL

+ 2008-04-22 14:28:41 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESGR.DLL

+ 2008-04-22 14:28:40 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESHU.DLL

+ 2008-04-22 14:28:39 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESID.DLL

+ 2008-04-22 14:28:38 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESIT.DLL

+ 2007-10-31 10:47:42 4,096 ----a-w c:\windows\twain_32\CNQ4807\USDRESJP.DLL

+ 2008-04-22 14:28:38 4,096 ----a-w c:\windows\twain_32\CNQ4807\USDRESKR.DLL

+ 2008-04-22 14:28:37 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESNL.DLL

+ 2008-04-22 14:28:30 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESNO.DLL

+ 2008-04-22 14:28:29 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESPL.DLL

+ 2008-04-22 14:28:29 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESPT.DLL

+ 2008-04-22 14:28:28 5,120 ----a-w c:\windows\twain_32\CNQ4807\USDRESRU.DLL

+ 2008-04-22 14:28:28 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESSE.DLL

+ 2008-04-22 14:28:27 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESTH.DLL

+ 2008-04-22 14:28:27 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESTR.DLL

+ 2008-04-22 14:28:25 4,096 ----a-w c:\windows\twain_32\CNQ4807\USDRESTW.DLL

+ 2007-10-31 10:47:44 4,608 ----a-w c:\windows\twain_32\CNQ4807\USDRESUS.DLL

+ 2007-12-18 19:20:46 221,184 ----a-w c:\windows\twain_32\CNQ4807\USIP.DLL

.

-- Instantané actualisé --

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]

2009-01-30 16:12 650752 --a------ c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

 

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Copernic Desktop Search - Home"="c:\program files\Copernic Desktop Search 2\DesktopSearchService.exe" [2008-12-11 1588224]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-07 266497]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2008-08-07 443116]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2008-08-07 90112]

"tsnp2std"="c:\windows\tsnp2std.exe" [2005-09-09 102400]

"snp2std"="c:\windows\vsnp2std.exe" [2005-08-16 339968]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-12-04 406016]

"DNS7reminder"="c:\program files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" [2007-03-19 259624]

"SearchSettings"="c:\program files\pdfforge Toolbar\SearchSettings.exe" [2009-01-30 992256]

"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]

"atwtusb"="atwtusb.exe" [2007-03-20 c:\windows\system32\ATWTUSB.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

"VIDC.MJPG"= Pvmjpg21.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IE New Window Maximizer]

--a------ 2005-02-08 23:06 356352 c:\program files\IE New Window Maximizer\iemaximizer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-02-16 17:15 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-02-16 17:15 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-13 20:34 1695232 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

--------- 2005-02-10 17:00 1937408 c:\program files\Ahead\Nero BackItUp\NBJ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2009-03-06 23:54 24095528 c:\program files\Skype\Phone\Skype.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]

--a------ 2006-10-25 10:03 210472 c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2001-10-02 01:42 10752 c:\program files\Winamp\winampa.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Sun\\SDK\\jdk\\bin\\java.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Documents and Settings\\David\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"61295:TCP"= 61295:TCP:emule

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-16 28544]

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]

S1 aiptektp;Pen Pad;c:\windows\system32\drivers\aiptektp.sys [2008-08-07 22528]

.

.

------- Examen supplémentaire -------

.

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\David\Application Data\Mozilla\Firefox\Profiles\efg79632.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - component: c:\program files\Copernic Desktop Search 2\FirefoxConnector\components\CSPXPCOMBridge.dll

FF - component: c:\program files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll

FF - component: c:\program files\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-30 13:57:22

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,f7,1b,78,81,41,

d6,38,8e,c8,28,51,af,b0,29,a3,98,03,12,57,ac,75,45,07,d9,e2,63,26,f1,3f,c8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,96,51,5b,0e,d9,

00,88,54,71,3b,04,66,8b,46,0d,96,60,f0,13,5c,02,16,bf,c9,6a,9c,d6,61,af,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,d9,4c,4f,fe,b5,

c6,32,49,25,da,ec,7e,55,20,c9,26,3d,25,65,c8,45,89,18,33,ff,7c,85,e0,43,d4,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,56,cf,71,a7,58,

63,62,12,3e,1e,9e,e0,57,5a,93,61,e4,0a,46,91,b1,c7,6e,ce,86,8c,21,01,be,91,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,75,a5,fd,51,59,

71,47,18,cd,44,cd,b9,a6,33,6c,cd,31,e1,67,f4,fb,29,e7,46,f5,1d,4d,73,a8,13,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,50,56,d7,0b,66,

37,22,5b,b0,18,ed,a7,3f,8d,37,a4,a8,3f,1d,67,cd,ec,86,23,df,20,58,62,78,6b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,b2,e1,e1,8a,fd,

28,da,58,31,77,e1,ba,b1,f8,68,02,c5,dc,d1,fe,f1,6d,ae,e7,fb,a7,78,e6,12,2f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,07,b5,95,3e,6c,

f4,4e,18,83,6c,56,8b,a0,85,96,ab,04,c8,36,25,f9,3b,2d,c2,01,3a,48,fc,e8,04,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,ab,48,39,b3,1e,

58,09,52,51,fa,6e,91,28,9e,14,cc,14,e6,d1,2a,1b,a3,b7,e5,f6,0f,4e,58,98,5b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,a7,a2,3a,76,eb,

e8,94,b0,b1,cd,45,5a,a8,c4,f8,b9,75,99,7a,56,b8,85,2f,96,3d,ce,ea,26,2d,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,22,28,6f,f6,8d,

9e,06,fc,e3,0e,66,d5,eb,bc,2f,6b,61,55,bf,4e,00,0f,0c,d8,2a,b7,cc,b5,b9,7f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,8e,ca,95,34,bd,

bd,3f,74,fa,ea,66,7f,d4,3b,6b,70,2c,39,86,63,58,65,f1,03,6c,43,2d,1e,aa,22,\

.

Heure de fin: 2009-03-30 13:59:23

ComboFix-quarantined-files.txt 2009-03-30 11:59:09

ComboFix2.txt 2009-03-29 14:42:54

 

Avant-CF: 4 268 695 552 octets libres

Après-CF: 4,257,329,152 octets libres

 

376 --- E O F --- 2009-03-27 15:58:35

 

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

 

 

j'ai fait la procedure sur mon pc avec ce qu'il y avait comme HD

j'ai refait la procedure avec un HD en plus et une CLE usb

 

je continue.

 

(nb: tu ne m'as pas dit COMMENT je peux savoir si j'ai infecté la semaine passée une autre PC avec ma clé ou un hd. Quel outil me conseilles-tu pour tester sur leur PC si je les ai vérollé ou pas ?)

[avilug]

et le dernier :

 

ComboFix 09-03-29.04 - David 2009-03-30 14:31:40.4 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1471.1086 [GMT 2:00]

Lancé depuis: c:\documents and settings\David\Bureau\DESINFECTION\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\David\Bureau\DESINFECTION\CFScript.txt

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\system32\drivers\xjbdqgl.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\David\Application Data\Search Settings

c:\documents and settings\David\Application Data\Search Settings\kb128\temp\ws-14333.log

E:\Autorun.inf

e:\recycler\Desktop_.ini

E:\s39tg.cmd

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-30 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-30 13:53 . 2009-03-30 13:59 <REP> d-------- C:\Combb

2009-03-29 22:25 . 2009-03-29 22:25 <REP> d--h----- c:\documents and settings\All Users\Application Data\CanonIJScan

2009-03-29 22:22 . 2009-03-29 22:22 <REP> d--h----- c:\windows\system32\CanonIJ Uninstaller Information

2009-03-29 22:22 . 2009-03-29 22:22 <REP> d--h----- c:\program files\CanonBJ

2009-03-29 22:22 . 2008-04-07 16:58 1,339,392 --a------ c:\windows\system32\CNQ4807C.DLL

2009-03-29 22:22 . 2008-04-18 15:51 598,016 --a------ c:\windows\system32\CNQ4807L.DLL

2009-03-29 22:22 . 2007-03-15 16:12 188,416 --a------ c:\windows\system32\CNQ4807O.DLL

2009-03-29 22:22 . 2008-04-07 16:58 98,304 --a------ c:\windows\system32\CNQ4807I.DLL

2009-03-29 19:01 . 2009-03-29 11:58 23,911,893 --a------ C:\ivdf_fusebundle_nt_en.zip

2009-03-29 16:31 . 2009-03-29 22:21 <REP> d-------- c:\program files\Navilog1

2009-03-27 18:24 . 2009-03-27 18:24 <REP> d-------- c:\documents and settings\David\Application Data\Thinstall

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-03-09 14:03 . 2007-11-07 12:36 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-03-09 14:03 . 2007-11-07 14:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-03-09 14:03 . 2007-11-07 14:27 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-03-09 14:03 . 2009-03-09 14:03 <REP> d-------- c:\documents and settings\Administrateur

2009-03-08 21:34 . 2009-03-08 21:34 <REP> d-------- c:\program files\Alcohol Soft

2009-03-08 21:31 . 2009-03-08 21:31 639,224 --a------ c:\windows\system32\drivers\sptd.sys

2009-03-05 20:43 . 2009-03-05 20:43 <REP> d-------- c:\program files\Q-Dir

2009-03-05 20:43 . 2009-03-05 20:44 <REP> d-------- c:\documents and settings\David\Application Data\Q-Dir

2009-03-05 20:43 . 2009-03-08 14:40 4,446 --a------ c:\windows\Q-Dir.ini

2009-02-23 15:41 . 2009-02-23 15:41 <REP> d-------- c:\program files\Fichiers communs\Skype

2009-02-12 21:24 . 2004-03-07 02:03 4,259,840 --a------ C:\VideoOut.avi

2009-02-12 21:12 . 2009-02-12 21:12 <REP> d-------- c:\program files\RADVideo

2009-02-12 00:10 . 2009-02-12 00:10 863,514 --a------ C:\1.bmp

2009-02-07 23:02 . 2009-02-07 23:02 <REP> d-------- c:\program files\QT Lite

2009-02-07 23:02 . 2009-02-07 23:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer

2009-02-07 23:02 . 2008-09-06 16:09 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx

2009-02-07 23:02 . 2008-09-06 16:09 57,344 --a------ c:\windows\system32\QuickTime.qts

2009-02-07 22:56 . 2009-02-07 22:56 <REP> d-------- c:\program files\ProtectDisc Driver Installer

2009-02-07 22:56 . 2009-02-07 22:56 <REP> d-------- c:\documents and settings\David\Application Data\ProtectDisc

2009-02-05 22:28 . 2009-02-05 22:28 <REP> d-------- c:\documents and settings\David\Application Data\pdfforge

2009-02-05 22:11 . 2009-02-05 22:11 <REP> d-------- c:\program files\pdfforge Toolbar

2009-02-05 22:11 . 2009-02-05 22:12 <REP> d-------- c:\program files\PDFCreator

2009-02-05 22:11 . 1998-06-24 01:00 137,000 --a------ c:\windows\system32\MSMAPI32.OCX

2009-02-05 22:11 . 2001-10-28 17:42 116,224 --a------ c:\windows\system32\pdfcmnnt.dll

2009-02-05 22:11 . 1998-07-06 01:00 23,552 --a------ c:\windows\system32\MSMPIDE.DLL

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-29 20:25 --------- d-----w c:\documents and settings\David\Application Data\Canon

2009-03-29 20:23 --------- d-----w c:\program files\Canon

2009-03-27 16:12 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-26 15:49 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-26 15:49 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-15 19:30 --------- d-----w c:\program files\eMule

2009-03-15 14:03 --------- d-----w c:\documents and settings\David\Application Data\TeamViewer

2009-03-13 16:55 --------- d-----w c:\documents and settings\David\Application Data\Skype

2009-03-13 15:54 --------- d-----w c:\documents and settings\David\Application Data\skypePM

2009-03-09 00:39 --------- d-----w c:\documents and settings\David\Application Data\dvdcss

2009-02-23 13:41 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-02-23 13:41 --------- d-----r c:\program files\Skype

2009-02-21 21:23 --------- d-----w c:\program files\CDex

2009-02-21 19:38 1,195 ----a-w c:\documents and settings\David\Application Data\SAS7_000.DAT

2009-02-15 19:37 --------- d-----w c:\program files\EDT

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-01-31 22:57 --------- d-----w c:\program files\UtopiaBOX 2.02

2009-01-30 09:28 --------- d-----w c:\program files\Copernic Desktop Search 2

2009-01-30 09:28 --------- d-----w c:\documents and settings\David\Application Data\Copernic

2009-01-28 01:08 --------- d-----w c:\program files\foxit

2009-01-08 22:14 48,208 ----a-w c:\documents and settings\David\Application Data\GDIPFONTCACHEV1.DAT

2008-12-20 23:29 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll

2008-09-14 13:40 40,559 ----a-w c:\documents and settings\David\Application Data\mdb.bin

.

 

((((((((((((((((((((((((((((( SnapShot_2009-03-30_13.58.20,82 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-03-30 12:27:55 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_350.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]

2009-01-30 16:12 650752 --a------ c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\program files\pdfforge Toolbar\WidgiToolbarIE.dll" [2009-01-30 650752]

 

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"Copernic Desktop Search - Home"="c:\program files\Copernic Desktop Search 2\DesktopSearchService.exe" [2008-12-11 1588224]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-07 266497]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2008-08-07 443116]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2008-08-07 90112]

"tsnp2std"="c:\windows\tsnp2std.exe" [2005-09-09 102400]

"snp2std"="c:\windows\vsnp2std.exe" [2005-08-16 339968]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-12-04 406016]

"DNS7reminder"="c:\program files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" [2007-03-19 259624]

"SearchSettings"="c:\program files\pdfforge Toolbar\SearchSettings.exe" [2009-01-30 992256]

"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]

"atwtusb"="atwtusb.exe" [2007-03-20 c:\windows\system32\ATWTUSB.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3filter"= ac3filter.acm

"VIDC.MJPG"= Pvmjpg21.dll

"VIDC.PIM1"= pclepim1.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IE New Window Maximizer]

--a------ 2005-02-08 23:06 356352 c:\program files\IE New Window Maximizer\iemaximizer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-02-16 17:15 221184 c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-02-16 17:15 81920 c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-13 20:34 1695232 c:\program files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

--------- 2005-02-10 17:00 1937408 c:\program files\Ahead\Nero BackItUp\NBJ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2009-03-06 23:54 24095528 c:\program files\Skype\Phone\Skype.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]

--a------ 2006-10-25 10:03 210472 c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2001-10-02 01:42 10752 c:\program files\Winamp\winampa.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Sun\\SDK\\jdk\\bin\\java.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Documents and Settings\\David\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"61295:TCP"= 61295:TCP:emule

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-16 28544]

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]

S1 aiptektp;Pen Pad;c:\windows\system32\drivers\aiptektp.sys [2008-08-07 22528]

.

.

------- Examen supplémentaire -------

.

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\David\Application Data\Mozilla\Firefox\Profiles\efg79632.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - component: c:\program files\Copernic Desktop Search 2\FirefoxConnector\components\CSPXPCOMBridge.dll

FF - component: c:\program files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}\components\pdfforgeToolbarFF.dll

FF - component: c:\program files\Mozilla Firefox\extensions\search@searchsettings.com\components\SearchSettingsFF.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-30 14:33:19

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,f7,1b,78,81,41,

d6,38,8e,c8,28,51,af,b0,29,a3,98,03,12,57,ac,75,45,07,d9,e2,63,26,f1,3f,c8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,96,51,5b,0e,d9,

00,88,54,71,3b,04,66,8b,46,0d,96,60,f0,13,5c,02,16,bf,c9,6a,9c,d6,61,af,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,d9,4c,4f,fe,b5,

c6,32,49,25,da,ec,7e,55,20,c9,26,3d,25,65,c8,45,89,18,33,ff,7c,85,e0,43,d4,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,56,cf,71,a7,58,

63,62,12,3e,1e,9e,e0,57,5a,93,61,e4,0a,46,91,b1,c7,6e,ce,86,8c,21,01,be,91,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,75,a5,fd,51,59,

71,47,18,cd,44,cd,b9,a6,33,6c,cd,31,e1,67,f4,fb,29,e7,46,f5,1d,4d,73,a8,13,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,50,56,d7,0b,66,

37,22,5b,b0,18,ed,a7,3f,8d,37,a4,a8,3f,1d,67,cd,ec,86,23,df,20,58,62,78,6b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,b2,e1,e1,8a,fd,

28,da,58,31,77,e1,ba,b1,f8,68,02,c5,dc,d1,fe,f1,6d,ae,e7,fb,a7,78,e6,12,2f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,07,b5,95,3e,6c,

f4,4e,18,83,6c,56,8b,a0,85,96,ab,04,c8,36,25,f9,3b,2d,c2,01,3a,48,fc,e8,04,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,ab,48,39,b3,1e,

58,09,52,51,fa,6e,91,28,9e,14,cc,14,e6,d1,2a,1b,a3,b7,e5,f6,0f,4e,58,98,5b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,a7,a2,3a,76,eb,

e8,94,b0,b1,cd,45,5a,a8,c4,f8,b9,75,99,7a,56,b8,85,2f,96,3d,ce,ea,26,2d,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,22,28,6f,f6,8d,

9e,06,fc,e3,0e,66,d5,eb,bc,2f,6b,61,55,bf,4e,00,0f,0c,d8,2a,b7,cc,b5,b9,7f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,8e,ca,95,34,bd,

bd,3f,74,fa,ea,66,7f,d4,3b,6b,70,2c,39,86,63,58,65,f1,03,6c,43,2d,1e,aa,22,\

.

Heure de fin: 2009-03-30 14:35:05

ComboFix-quarantined-files.txt 2009-03-30 12:34:51

ComboFix2.txt 2009-03-30 12:16:42

ComboFix3.txt 2009-03-30 11:59:24

ComboFix4.txt 2009-03-29 14:42:54

 

Avant-CF: 4 222 447 616 octets libres

Après-CF: 4,208,140,288 octets libres

 

253 --- E O F --- 2009-03-27 15:58:35

 

(2 hd et 3 clés, au total)

 

merci !

[avilug]

en réfléchissant 2 min, je crois que ma réinfection constante venait ... d'un HD et non pas d'une clé amovible. car le hd, je me souviens l'avoir branché pls fois ces temps ci mais PAS la clé. D'autre part, avant désinfection, il n'y avait pas sur mes clés de fichier autorun. cela se tient-il ?

(tu ne m'oublies pas pour l'outil de test, hein ??? c'est que moi, j'ai pas envie de me faire [encore] engueuler par les amis infectés par ma faute...)

Modifié le 30 mars 2009 par avilug

[Gof]

Bonjour avilug

 

Navré des délais, j'ai eu peu de disponibilité ces jours derniers.

 

Bien, la procédure a semble-t-il bien fonctionné. Tes différentes partitions et supports étaient infectés en effet par l'infection se propageant par supports amovibles. Regarde :

• 
  E:\Autorun.inf
  E:\recycler\Desktop_.ini
  E:\s39tg.cmd
   
  H:\Autorun.inf
  H:\s39tg.cmd
   
  I:\Autorun.inf
  I:\s39tg.cmd
   
  J:\Autorun.inf
  J:\s39tg.cmd
   
  K:\Autorun.inf
  K:\s39tg.cmd
  

 

A quoi correspond ton lecteur E ? Le HD dont tu me parles ? Tu ne devrais plus en l'état te réinfecter. Je souhaiterais que tu me génères à présent un nouveau rapport MBAM et que tu me le postes à la suite. Je souhaiterais également que tu m'indiques si Antivir t'a de nouveau alerté depuis que l'on a traité les différents lecteurs.

 

D'autre part, avant désinfection, il n'y avait pas sur mes clés de fichier autorun. cela se tient-il ?

Oui et non. Si l'infection est active, elle modifie généralement l'affichage des fichiers et dossiers cachés, de sorte que l'utilisateur ne les voit pas. Ainsi, le fichier autorun.inf et le fichier véritablement infectieux ne se voient pas dans l'explorateur windows. De plus, si l'infection est active, elle se copiera-collera automatiquement sur tous les supports branchés.

 

tu ne m'oublies pas pour l'outil de test, hein ??? c'est que moi, j'ai pas envie de me faire [encore] engueuler par les amis infectés par ma faute...

Je crains que tu ne te fasses engueuler Il est très fortement probable que le lecteur que tu leur as prêté les ait infecté.

 

Je te donnerais, lorsque nous aurons fini, une méthode type qui devrait suffire à traiter les soucis.

[avilug]

merci encore, Gof .

 

le rapport mbam

Malwarebytes' Anti-Malware 1.35

Version de la base de données: 1923

Windows 5.1.2600 Service Pack 3

 

31/03/2009 17:18:23

mbam-log-2009-03-31 (17-18-23).txt

 

Type de recherche: Examen rapide

Eléments examinés: 70784

Temps écoulé: 3 minute(s), 20 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

(nb: le E est bien le hd (différents HD) que je branche.

[Gof]

Re

 

Tu ne m'as pas répondu pour Antivir ? As-tu de nouveau des alertes pour les soucis initiaux ? (normalement non).