Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Mon IP est bloquée sur un site

tolunq

Par tolunq
dans Analyses et éradication malwares

 Partager

Messages recommandés

tolunq Mega Power Member

tolunq

Posté(e)
  • Auteur
Posté(e)

j'ai fait tout ce que as demandé mais j'ai un truc "étonnant" qui vient de se passer à l'ouverture de firefox !!! et je ne sais pas comment ni pourquoi ?

 

ma page de démarrage google.fr a été changé comme par enchantement ... et par celle de xeoo !!!!

 

j'ai donc remis ma page google par défaut en esperant que xeoo ne revienne pas ... mais je ne sais pas où et comment je me l'a suis chopé ?

 

ci joint le rapport :

 

ComboFix 09-04-01.01 - moi 2009-04-03 21:37:19.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.3327.2569 [GMT 2:00]

Lancé depuis: c:\documents and settings\moi\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\moi\Bureau\CFscript.txt

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

* Un nouveau point de restauration a été créé

 

FILE ::

C:\SmitfraudFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\moi\Application Data\EoRezo

c:\documents and settings\moi\Application Data\EoRezo\cache

c:\documents and settings\moi\Application Data\EoRezo\cmhost.cyp

c:\documents and settings\moi\Application Data\EoRezo\ConfMedia.cyp

c:\documents and settings\moi\Application Data\EoRezo\db\cat.cyp

c:\documents and settings\moi\Application Data\EoRezo\eoDesktop\config.xml

c:\documents and settings\moi\Application Data\EoRezo\eoDesktop\eoDesktop.html

c:\documents and settings\moi\Application Data\EoRezo\eoDesktop\userConfig.xml

c:\documents and settings\moi\Application Data\EoRezo\EoNet.cfg

c:\documents and settings\moi\Application Data\EoRezo\eoStats\eoStats.txt

c:\documents and settings\moi\Application Data\EoRezo\host.cyp

c:\documents and settings\moi\Application Data\EoRezo\modules.cyp

c:\documents and settings\moi\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe

c:\documents and settings\moi\Application Data\EoRezo\SoftwareUpdate\unins000.dat

c:\documents and settings\moi\Application Data\EoRezo\SoftwareUpdate\unins000.exe

c:\documents and settings\moi\Application Data\EoRezo\SoftwareUpdate\user_config.cyp

c:\documents and settings\moi\Application Data\EoRezo\SoftwareUpdate\user_profil.cyp

c:\documents and settings\moi\Application Data\EoRezo\user.cyp

c:\documents and settings\moi\Application Data\VMNTOOLBAR

c:\documents and settings\moi\Application Data\VMNTOOLBAR\---Yahoo.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\01net.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\1\rsscenter.xml

c:\documents and settings\moi\Application Data\VMNTOOLBAR\a.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\amazon.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\an.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\arrow_down.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\arrow_up.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\arrowB.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\arrowT.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\autofill.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\avstate.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\b.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\bg_pub.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\bg_ttl.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\bn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\c.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\canalblog.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\cn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\COMBOSEARCH.acs

c:\documents and settings\moi\Application Data\VMNTOOLBAR\d.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\dictionary2.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\dn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\downfile\searchdata.php107108406

c:\documents and settings\moi\Application Data\VMNTOOLBAR\downfile\searchdata.php5260468

c:\documents and settings\moi\Application Data\VMNTOOLBAR\DownloadCOM.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\dropdown.css

c:\documents and settings\moi\Application Data\VMNTOOLBAR\ErrorPageTemplate.css

c:\documents and settings\moi\Application Data\VMNTOOLBAR\f.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_argentine.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_australia.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_brazil.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_canada.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_china.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_france.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_germany.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_greece.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_hongkong.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_india.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_indonesia.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_italy.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_japan.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_korea.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_mexico.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_netherlands.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_spain.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_sweeden.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_taiwan.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_uk.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\flag_usa.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\fn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\g.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\gaming.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\gn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\gograph.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred0.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred0_5.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred1.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred1_5.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred2.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred2_5.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred3.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred3_5.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred4.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred4_5.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\graphred5.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_aquarius.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_aries.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_cancer.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_capricorn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_gemini.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_leo.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_libra.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_pisces.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_sagittarius.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_scorpio.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_taurus.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\h_virgo.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\help.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\hideremove.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\highlight.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\hn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\i.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\IEtab1_7b.zip

c:\documents and settings\moi\Application Data\VMNTOOLBAR\in.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\ipsearch.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\j.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\jn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\k.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\kn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\l.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\ln.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\loading.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\login.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\logo.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\n.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\New York_NY_weather.txt

c:\documents and settings\moi\Application Data\VMNTOOLBAR\New York_NY_weather.txt5260468

c:\documents and settings\moi\Application Data\VMNTOOLBAR\new02.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\news.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\news.html

c:\documents and settings\moi\Application Data\VMNTOOLBAR\nn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\o.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\on.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\p.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\p_yahoo.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\p_yahoo_fr.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\pestscanimg.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\pixsy.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\pn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\popup_off.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\popup_on.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\popup_ona.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\q.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\qn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\r.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\relatedlinks.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\report.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\rn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\rss.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\rss.xsl

c:\documents and settings\moi\Application Data\VMNTOOLBAR\rss1.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\rsslib.js

c:\documents and settings\moi\Application Data\VMNTOOLBAR\rssmenu1_6a.zip

c:\documents and settings\moi\Application Data\VMNTOOLBAR\s.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\security.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\Sinfo.txt

c:\documents and settings\moi\Application Data\VMNTOOLBAR\siteinfo.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\slider.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\sn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\spacer.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\stars-red1.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\stars-red2.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\stars-red3.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\stars-red4.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\stars-red5.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\storage.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\t.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\tab_icon.png

c:\documents and settings\moi\Application Data\VMNTOOLBAR\tabdata.js

c:\documents and settings\moi\Application Data\VMNTOOLBAR\tablib.js

c:\documents and settings\moi\Application Data\VMNTOOLBAR\tabwelcome_en.html

c:\documents and settings\moi\Application Data\VMNTOOLBAR\tabwelcome_fr.html

c:\documents and settings\moi\Application Data\VMNTOOLBAR\technorati.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\thes_search.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\tn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\tools.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\translate.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\u.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\un.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\utf8.js

c:\documents and settings\moi\Application Data\VMNTOOLBAR\v.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\vmlib.js

c:\documents and settings\moi\Application Data\VMNTOOLBAR\vmntoolbartb1500.cfg

c:\documents and settings\moi\Application Data\VMNTOOLBAR\vn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\w.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\web.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\wikipedia.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\wn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\x.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\xp_close_small.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\Yahoo.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\yahoo_search.gif

c:\documents and settings\moi\Application Data\VMNTOOLBAR\YouTube.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\z.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\zn.bmp

c:\documents and settings\moi\Application Data\VMNTOOLBAR\zoom.bmp

C:\SmitfraudFix

C:\SmitfraudFix.exe

c:\smitfraudfix\404Fix.exe

c:\smitfraudfix\Agent.OMZ.Fix.exe

c:\smitfraudfix\beep_2K_original.sys

c:\smitfraudfix\beep_XP_original.sys

c:\smitfraudfix\dumphive.exe

c:\smitfraudfix\exit.exe

c:\smitfraudfix\GenericRenosFix.exe

c:\smitfraudfix\HostsChk.exe

c:\smitfraudfix\IEDFix.C.exe

c:\smitfraudfix\IEDFix.exe

c:\smitfraudfix\o4Patch.exe

c:\smitfraudfix\Policies.exe

c:\smitfraudfix\Process.exe

c:\smitfraudfix\Reboot.exe

c:\smitfraudfix\restart.exe

c:\smitfraudfix\SmitfraudFix.cmd

c:\smitfraudfix\SmiUpdate.exe

c:\smitfraudfix\SrchSTS.exe

c:\smitfraudfix\swreg.exe

c:\smitfraudfix\swsc.exe

c:\smitfraudfix\swxcacls.exe

c:\smitfraudfix\UIFix.exe

c:\smitfraudfix\unzip.exe

c:\smitfraudfix\VACFix.exe

c:\smitfraudfix\VCCLSID.exe

c:\smitfraudfix\WS2Fix.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-03 au 2009-04-03 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-03 21:29 . 2009-04-03 21:33 <REP> d-------- c:\program files\CCleaner

2009-04-03 21:03 . 2009-04-03 21:06 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-04-03 21:03 . 2009-04-03 21:03 <REP> d-------- c:\documents and settings\moi\Application Data\Malwarebytes

2009-04-03 21:03 . 2009-04-03 21:03 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-04-03 21:03 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-03 21:03 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-04-01 22:40 . 2009-04-01 22:41 <REP> d-------- C:\rsit

2009-04-01 19:17 . 2009-04-01 19:17 <REP> d-------- c:\program files\Ad-remover

2009-03-31 13:24 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys

2009-03-24 18:20 . 2009-03-24 18:20 <REP> d-------- c:\documents and settings\moi\Application Data\CyberLink

2009-03-24 18:10 . 2009-03-24 18:12 <REP> d-------- c:\program files\CyberLink

2009-03-24 18:10 . 2009-03-24 18:20 <REP> d-------- c:\documents and settings\All Users\Application Data\CyberLink

2009-03-21 16:15 . 2009-03-21 16:28 <REP> d-------- c:\program files\TagRename

2009-03-21 15:57 . 2009-03-21 16:15 <REP> d-------- c:\program files\Album Cover Art Downloader

2009-03-21 15:57 . 2009-03-21 16:06 <REP> d-------- c:\documents and settings\moi\Application Data\albumart

2009-03-21 13:29 . 2009-03-21 13:30 <REP> d-------- c:\program files\Mp3 tag editor

2009-03-18 13:58 . 2009-03-19 12:23 <REP> d-------- c:\documents and settings\All Users\Application Data\DVD Shrink

2009-03-18 12:42 . 2009-03-18 12:42 <REP> d-------- c:\program files\DVDShrink 2008

2009-03-16 16:38 . 2009-03-16 16:38 <REP> d-------- c:\program files\MMTVConfig

2009-03-16 16:38 . 2009-03-16 16:38 <REP> d-------- c:\documents and settings\moi\Application Data\MMTVConfig

2009-03-16 12:23 . 2009-04-01 21:00 <REP> d-------- c:\program files\splus

2009-03-16 12:23 . 2005-10-17 19:13 447,488 --a------ c:\windows\system32\splus.cpl

2009-03-16 12:15 . 2009-03-16 12:17 <REP> d-------- c:\program files\RegCleaner

2009-03-14 01:14 . 2009-03-14 01:15 <REP> d-------- c:\program files\K!TV

2009-03-12 20:16 . 2009-03-12 20:16 <REP> d-------- c:\program files\PhotomatixPro3

2009-03-09 23:16 . 2009-03-09 23:16 <REP> d-------- c:\documents and settings\moi\Application Data\TerraTec

2009-03-08 13:56 . 2009-03-08 13:56 <REP> d-------- C:\_OTMoveIt

2009-03-07 14:06 . 2008-12-13 00:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2009-03-07 14:06 . 2008-12-13 00:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2009-03-07 14:06 . 2008-12-12 23:10 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2009-03-07 14:06 . 2008-12-13 00:02 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-03-07 14:06 . 2008-12-13 00:02 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2009-03-07 14:06 . 2008-12-13 00:02 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-03-07 14:06 . 2009-03-31 16:14 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-03-07 14:06 . 2009-03-07 14:06 <REP> d-------- c:\documents and settings\Administrateur

2009-03-03 20:35 . 2009-03-03 20:35 <REP> d-------- c:\program files\Micro Application

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-03 19:43 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab

2009-04-03 19:38 909,344 --sha-w c:\windows\system32\drivers\fidbox2.dat

2009-04-03 19:38 76,724 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-04-03 19:38 7,938,592 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-04-03 19:38 12,572 --sha-w c:\windows\system32\drivers\fidbox2.idx

2009-04-02 21:21 --------- d-----w c:\documents and settings\moi\Application Data\FileZilla

2009-04-01 21:13 89,601 ----a-w c:\windows\system32\drivers\klick.dat

2009-04-01 21:13 101,287 ----a-w c:\windows\system32\drivers\klin.dat

2009-04-01 20:57 --------- d-----w c:\documents and settings\moi\Application Data\Corel

2009-04-01 19:04 --------- d-----w c:\program files\Astro

2009-04-01 19:00 --------- d-----w c:\program files\Boris FX, Inc

2009-03-31 14:45 --------- d-----w c:\program files\Trojan Remover

2009-03-31 14:45 --------- d-----w c:\documents and settings\moi\Application Data\Simply Super Software

2009-03-31 14:44 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-03-30 16:22 --------- d-----w c:\documents and settings\moi\Application Data\dvdcss

2009-03-24 16:13 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-19 10:45 --------- d-----w c:\documents and settings\moi\Application Data\Nero

2009-03-01 15:34 --------- d-----w c:\documents and settings\moi\Application Data\proDAD

2009-03-01 15:33 --------- d-----w c:\program files\proDAD

2009-03-01 15:33 --------- d-----w c:\program files\LooksBuilderSE

2009-03-01 15:30 --------- d-----w c:\program files\Pinnacle

2009-03-01 15:29 --------- d-----w c:\program files\SureThing Express Labeler

2009-03-01 15:12 --------- d-----w c:\program files\Fichiers communs\SureThing Shared

2009-03-01 15:10 --------- d-----w c:\program files\Fichiers communs\Pinnacle

2009-03-01 15:10 --------- d-----w c:\documents and settings\All Users\Application Data\Pinnacle Studio Ultimate

2009-03-01 15:07 --------- d-----w c:\program files\Fichiers communs\Yahoo!

2009-03-01 15:07 --------- d-----w c:\documents and settings\All Users\Application Data\Studio 12

2009-03-01 15:07 --------- d-----w c:\documents and settings\All Users\Application Data\Pinnacle Studio Plus

2009-03-01 14:43 --------- d-----w c:\program files\Stardock

2009-02-28 15:05 --------- d-----w c:\program files\Pando Networks

2009-02-26 21:18 --------- d-----w c:\program files\7-Zip

2009-02-26 00:07 --------- d-----w c:\program files\TVersity Codec Pack

2009-02-25 23:58 --------- d-----w c:\program files\ffdshow

2009-02-25 23:56 --------- d-----w c:\program files\TVersity

2009-02-20 20:49 --------- d-----w c:\program files\WinISO

2009-02-18 16:55 --------- d-----w c:\documents and settings\moi\Application Data\MeuhMeuhTV

2009-02-18 16:54 --------- d-----w c:\program files\MeuhMeuhTV Alpha

2009-02-17 18:54 --------- d-----w c:\program files\Rapidown

2009-02-04 14:39 33,808 ----a-w c:\windows\system32\drivers\klbg.sys

2009-02-04 10:53 --------- d-----w c:\documents and settings\All Users\Application Data\Pinnacle Studio

2009-02-04 10:53 --------- d-----w c:\documents and settings\All Users\Application Data\Pinnacle

.

 

((((((((((((((((((((((((((((( SnapShot@2009-04-03_11.33.00.92 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-04-03 09:06:47 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-04-03 17:07:33 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-04-03 09:06:47 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-04-03 17:07:33 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2009-04-03 09:06:47 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2009-04-03 17:07:33 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

- 2009-04-03 09:31:45 62,286 ----a-w c:\windows\system32\perfc009.dat

+ 2009-04-03 17:32:11 62,286 ----a-w c:\windows\system32\perfc009.dat

- 2009-04-03 09:31:45 75,696 ----a-w c:\windows\system32\perfc00C.dat

+ 2009-04-03 17:32:11 75,696 ----a-w c:\windows\system32\perfc00C.dat

- 2009-04-03 09:31:45 400,624 ----a-w c:\windows\system32\perfh009.dat

+ 2009-04-03 17:32:11 400,624 ----a-w c:\windows\system32\perfh009.dat

- 2009-04-03 09:31:45 467,620 ----a-w c:\windows\system32\perfh00C.dat

+ 2009-04-03 17:32:11 467,620 ----a-w c:\windows\system32\perfh00C.dat

+ 2009-04-03 19:41:17 16,384 ----atw c:\windows\temp\Perflib_Perfdata_4e0.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"SUPERAntiSpyware"="j:\superantispyware\SUPERAntiSpyware.exe" [2008-12-17 1809648]

"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-03-24 1488112]

"LaunchList"="j:\pinnacle\Studio 11\LaunchList2.exe" [2007-03-21 145496]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]

"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-11-19 1970176]

"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2003-12-27 81920]

"TrueImageMonitor.exe"="f:\acronis 2009\TrueImageMonitor.exe" [2008-10-17 4375856]

"AcronisTimounterMonitor"="f:\acronis 2009\TimounterMonitor.exe" [2008-10-17 961640]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2008-10-17 165144]

"WinFastDTV"="c:\program files\WinFast\WFDTV\DTVSchdl.exe" [2008-10-24 90112]

"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2008-11-20 178688]

"SBCSTray"="c:\program files\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-08-27 698864]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-04 136600]

"Babylon Client"="c:\program files\Babylon\Babylon-Pro\Babylon.exe" [2008-12-14 3960552]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 71216]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-04 206088]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-03-26 401040]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 c:\windows\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "j:\superantispyware\SASSEH.DLL" [2008-05-13 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-03 15:56 352256 j:\superantispyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.xvid"= xvid.dll

"VIDC.MJPG"= pvmjpg30.dll

"vidc.dvsd"= pdvcodec.dll

"vidc.mjpx"= Pvmjpg30.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"g:\\COD\\CoDWaW.exe"=

"g:\\COD\\CoDWaWmp.exe"=

"c:\\Program Files\\Webcam Zone Trigger 2\\ZoneTrigger.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"j:\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"j:\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"j:\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

"j:\\Pinnacle\\Studio 11\\programs\\RM.exe"=

"j:\\Pinnacle\\Studio 11\\programs\\Studio.exe"=

"j:\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=

"j:\\Pinnacle\\Studio 11\\programs\\umi.exe"=

"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=

"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=

"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=

"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"57029:TCP"= 57029:TCP:Pando P2P TCP Listening Port

"57029:UDP"= 57029:UDP:Pando P2P UDP Listening Port

 

R0 d344bus;d344bus;c:\windows\system32\drivers\d344bus.sys [2008-12-13 137216]

R0 d344prt;d344prt;c:\windows\system32\drivers\d344prt.sys [2008-12-13 5248]

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2008-06-24 150568]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-31 28544]

R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [2008-12-18 15544]

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [2008-12-13 134272]

R0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:\windows\system32\drivers\tdrpm147.sys [2008-12-13 971232]

R1 SASDIFSV;SASDIFSV;j:\superantispyware\sasdifsv.sys [2008-12-04 8944]

R1 SASKUTIL;SASKUTIL;j:\superantispyware\SASKUTIL.SYS [2008-12-04 55024]

R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\program files\CyberLink\PowerDVD\000.fcl [2006-11-02 17:51:58 13560]

R2 ARGUS;ARGUS;c:\windows\system32\drivers\ARGUS.sys [2008-12-13 65280]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2009-04-03 179856]

R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-12-13 84992]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [2008-12-13 36864]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2009-04-03 15504]

R3 SASENUM;SASENUM;j:\superantispyware\SASENUM.SYS [2008-12-04 7408]

R3 SBAPIFS;SBAPIFS;\??\c:\windows\system32\drivers\sbapifs.sys --> c:\windows\system32\drivers\sbapifs.sys [?]

S2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [2008-12-15 59776]

S2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2008-12-15 19456]

S2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kXbar.sys [2008-12-15 9600]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-04-03 38496]

S3 WFIOCTL;WFIOCTL;\??\c:\program files\WinFast\WFTVFM\WFIOCTL.SYS --> c:\program files\WinFast\WFTVFM\WFIOCTL.SYS [?]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - SBAPIFS

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{98efeb7b-c891-11dd-ad83-806d6172696f}]

\Shell\AutoRun\command - D:\atisetup.exe

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Connection Wizard,ShellNext = hxxp://www.leadtek.com.tw/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - f:\micros~1\OFFICE11\EXCEL.EXE/3000

IE: Translate with &Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

FF - ProfilePath - c:\documents and settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\

FF - plugin: c:\program files\Mozilla Firefox\plugins\npPandoWebInst.dll

FF - plugin: c:\program files\Virtools\3D Life Player\npvirtools.dll

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");

c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-03 21:44:40

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]

"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,49,93,b7,f0,c0,

94,1f,4f,c8,28,51,af,b0,29,a3,98,a8,8c,50,70,37,27,61,5f,e2,63,26,f1,3f,c8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:46,47,15,b0,92,4b,c7,ef,3a,9b,da,09,55,

fb,89,46,71,3b,04,66,8b,46,0d,96,92,a9,ed,24,b5,da,b7,14,6a,9c,d6,61,af,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:7a,45,05,fd,91,e8,6f,31,99,c6,e9,0e,94,

b7,d6,6d,25,da,ec,7e,55,20,c9,26,a8,92,fb,f7,81,77,94,85,ff,7c,85,e0,43,d4,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,c6,b8,64,78,73,

12,dc,1c,3e,1e,9e,e0,57,5a,93,61,54,2e,ee,e2,ce,73,db,ad,86,8c,21,01,be,91,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,33,2d,5c,76,ad,

1f,9f,bc,cd,44,cd,b9,a6,33,6c,cd,94,de,66,78,8c,b1,f7,60,f5,1d,4d,73,a8,13,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,97,de,0c,ce,6e,

97,e6,69,b0,18,ed,a7,3f,8d,37,a4,92,c3,15,fd,2e,2c,c8,7f,df,20,58,62,78,6b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,9d,ef,5d,42,05,

c4,ae,e7,31,77,e1,ba,b1,f8,68,02,37,d4,52,5e,34,c0,47,1b,fb,a7,78,e6,12,2f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,b4,d5,9d,43,1d,

f5,c9,1a,83,6c,56,8b,a0,85,96,ab,93,0e,df,da,bc,8d,3c,df,01,3a,48,fc,e8,04,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,fb,1b,bb,be,9e,

ac,cf,fc,51,fa,6e,91,28,9e,14,cc,9a,d3,1d,7a,77,0d,4b,35,f6,0f,4e,58,98,5b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,c6,47,1a,07,a0,

e8,2b,c0,b1,cd,45,5a,a8,c4,f8,b9,35,34,2d,94,24,b9,c4,9f,3d,ce,ea,26,2d,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,ac,61,be,34,f6,

52,e7,c0,e3,0e,66,d5,eb,bc,2f,6b,f7,d4,9e,a2,ae,78,b3,32,2a,b7,cc,b5,b9,7f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,87,16,47,77,89,

e2,4f,4a,fa,ea,66,7f,d4,3b,6b,70,c5,35,30,50,95,47,27,49,6c,43,2d,1e,aa,22,\

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1536)

j:\superantispyware\SASWINLO.dll

c:\documents and settings\moi\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

c:\windows\system32\Ati2evxx.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

c:\windows\system32\PSIService.exe

c:\program files\CyberLink\Shared files\RichVideo.exe

c:\program files\Sunbelt Software\CounterSpy\SBCSSvc.exe

c:\program files\TVersity\Media Server\MediaServer.exe

c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\ati2evxx.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\windows\system32\wscntfy.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

.

**************************************************************************

.

Heure de fin: 2009-04-03 21:46:11 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-03 19:46:08

ComboFix2.txt 2009-04-03 09:33:41

 

Avant-CF: 100 846 186 496 octets libres

Après-CF: 100,818,604,032 octets libres

 

566 --- E O F --- 2009-03-21 21:03:32

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Pas grave, j'ai demandé à Combofix de faire du ménage là dedans, le fait d'y être allé à dû remettre le paramètre. Ferme firefox, relance, et vois si ça revient.

tolunq Mega Power Member

tolunq

Posté(e)
  • Auteur
Posté(e)

visiblement j'ai ma page de demarrage google.

 

mais où je n'ai pas compris, c'est qu'une fois que combofix a fait son ménage, il a éteint puis redémarré le pc et c'est là, quand firefox s'est rouvert qu'il m'a affiché le moteur de recherche xeoo.

 

donc cela va peut être se reproduire ... je dois toujours l'avoir vu que c'est apparu après combofix.

 

par contre, que dois je faire pour le keylogger que kis m'avait trouvé ?

a t il disparu avec combofix ou l'ai je encore ?

si je l'ai encore, je crains quoi vu que visiblement c'est un prg qui garde en mémoire les touches appuyées, si j'ai bien compris. tant que ce pb n'est pas reglé dois je éviter des trucs comme aller voir mes comptes sur internet ou paiement en ligne ou ... ?

 

encore des bricoles :

- mon pc est assez lent au démarrage : entre le moment ou le 1er ecran windows apparait et le moment où je dois cliquer sur mon compte pour l'ouverture de windows. et aussi de ce moment à l'apparition du bureau de windows ... très long même ...

- je voulais désinstaller (comme on me l'a conseillé sur le forum) de ne garder que superantispyware, j'ai voulu ôter les 2 autres que j'avais mais je n'ai pas réussi à le faire pour counterspy. aucun fichier de désinstallation et rien dans ccleaner pour le désinstaller. comment dois je m'y prendre ?

 

merci encore

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

on va vérifier pour le moteur de recherche dans firefox.

 

FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux.

 

-> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements.

-> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe

-> Une fenêtre de commande s'ouvre et affiche quelques informations générales.

-> Laisse faire l'outil jusqu'à affichage de "Recherches terminées.

Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée].

-> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes.

Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt.

-> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé.

-> Ferme le Bloc-notes et attends les instructions du Conseiller.

 

FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.

 

 

--------------------

 

Pour ton keylogger, il faudrait me dire dans quel fichier il a été trouvé (ou refaire un scan KIS et poster le rapport). Cela dit dans mes rapports je n'en vois pas.

 

Tu veux virer superantispyware ?

tolunq Mega Power Member

tolunq

Posté(e)
  • Auteur
Posté(e)

pour le keylogger, kis l'avait trouvé dans system32\drivers et c'était le fichier SSKBFD

j'avais fait une recherche et j'avais bien trouvé un fichier sskbfd.sys mais killbox n'avait pas pu le virer car il ne l'avait pas trouvé.

hier je n'ai pas touché au pc et aujourd'hui, aucun message de kis au sujet de ce keylogger. c'est apparu mercredi soir et toutes les 2 minutes, j'avais un message de kis qui me disait "impossible à supprimer".

 

pour superantispyware : non je le veux bien sûr le garder car j'ai une licence mais c'est counterspy que je désire virer mais aucun prg de désinstallation et cclenaer ne l'a pas trouvé dans sa liste de prg installé. il est dans C:\Program Files\Sunbelt Software\CounterSpy\CounterSpy.exe"

 

 

voici le rapport foxscan :

 

FoxScan Version 1.0.6

Ecrit par Loup blanc - Zebulon.fr

Scan lancé le 03/04/2009 à 23:15:04,51

 

 

Microsoft Windows XP [version 5.1.2600]

Service Pack 3

 

Mozilla Firefox version : 3.0.8 (fr)

Dossier d'installation : C:\Program Files\Mozilla Firefox

 

Profil : default

Dossier du profil : C:\Documents and Settings\moi\Application Data\mozilla\firefox\Profiles\sk3g6ll2.default\

Pages de démarrage : "google.fr"

 

------------------------------------------------------

 

 

//////////// Modules complémentaires \\\\\\\\\\\\\

======= Profil : default =======

 

La notification d'installation des modules complémentaires est activée

 

Nom : Adblock Plus

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

 

Nom : CS Lite

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\{00084897-021a-4361-8423-083407a033e0}

 

Nom : Live HTTP Headers

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a}

 

Nom : Get jetable mail

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\{26af1522-982e-c0c4-f54a-7e69fb6432f5}

 

Nom : Glazoom (anciennement Zoom It)

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\zoomit@disruptive-innovations.com

 

Nom : Java Console

Etat : Activé

Dossier : C:\PROGRA~1\MOZILL~1\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

 

Nom : Java Quick Starter

Etat : Activé

Dossier : C:\Program Files\Java\jre6\lib\deploy\jqs\ff

 

Nom : 1.0"?><RDF xmlns

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\{e3868d2c-9a68-4c4a-87f2-4e9d78fd16ee}

 

Nom : NoScript

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

 

Nom : UnMHT

Etat : Activé

Dossier : C:\Documents and Settings\moi\Application Data\Mozilla\Firefox\Profiles\sk3g6ll2.default\extensions\{f759ca51-3a91-4dd1-ae78-9db5eee9ebf0}

 

Nom : Default

Etat : Activé

Dossier : C:\PROGRA~1\MOZILL~1\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

 

Nom : megauploadnotimeautodownloadmubu

Etat : Désactivé

 

 

 

------------------------------------------------------

 

 

 

//////////// Plugins de recherche \\\\\\\\\\\\\

======= Profil : default =======

 

Recherche dans "prefs.js" :

 

browser.search.defaultenginename : ""

 

browser.search.defaulturl : ""

 

browser.search.selectedEngine : ""

 

keyword.URL : ""

 

 

--------- Moteurs de recherche trouvés ------------

+ Formulaire de recherche configuré pour le moteur

 

 

C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml

template="http://www.amazon.fr/exec/obidos/external-search/">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

template="http://search.babylon.com/web/{searchTerms}">

 

 

 

C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml

template="http://rover.ebay.com/rover/1/709-47295-17703-3/4">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\google.xml

template="http://www.google.com/search">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml

template="http://www.dictionnaire-mediadico.com/dictionnaires.asp">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml

template="http://fr.wikipedia.org/wiki/Special:Recherche">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\xeoocom.xml

template="http://www.xeoo.com/">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

template="http://fr.search.yahoo.com/search">

 

 

------------------------------------------------------

 

 

//////////// DLL présentes dans C:\Program Files\Mozilla Firefox\components \\\\\\\\\\\\\

 

browserdirprovider.dll

brwsrcmp.dll

 

------------------------------------------------------

 

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]

"Description"="Adobe® Flash® Player 10"

"Vendor"="Adobe Systems Incorporated"

"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@pandasecurity.com/activescan]

"Description"="Panda ActiveScan 2.0"

"Vendor"="Panda ActiveScan 2.0"

"Path"="C:\Program Files\Panda Security\ActiveScan 2.0\npwrapper.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@virtools.com/3DviaPlayer]

"Description"="3Dvia Player For Mozilla Based Broswer"

"Vendor"="Virtools"

"Path"="C:\Program Files\Virtools\3D Life Player\npvirtools.dll"

 

------------------------------------------------------

 

//////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]

 

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.8\extensions]

 

 

------------------ Fin du rapport ------------------

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Si c'est ce fichier, il appartient à Webroot Spy Sweeper (programme légitime), (C:\WINDOWS\system32\drivers\sskbfd.sys) et n'est pas nécessairement nocif à proprement parler.

Vérifie sa présence, et mets à jour KIS, on ne sait jamais.

 

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

 

Pour xeoo, efface à la main ce fichier, il n'y a plus d'autre trace que ceci :

C:\Program Files\Mozilla Firefox\searchplugins\xeoocom.xml

 

Pour Counterspy, s'il n'y a plus de lien de désinstallation, (pas normal, peut-être viré à tort par un outil type ccleaner d'ailleurs), tu peux tenter de réinstaller par dessus, en écrasant (à condition de choisir le même dossier) pour avoir un désinstallateur tout neuf, sinon je peux t'aider pour le faire aussi, manuellement.

tolunq Mega Power Member

tolunq

Posté(e)
  • Auteur
Posté(e)

xeoocom.xml supprimé manuellement

 

keylogger : j'ai retrouvé dans le journal de kis les traces de ces messages :

090404122043157859.jpg

 

pour counterspy, je le réinstalle dès que je peux et je te tiens au courant.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

C'est bien ça, c'est le driver de Webroot, spy wseeper, c'est toi qui l'a installé, ce logiciel, ou pas ? (spy sweeper fait plein de choses autre).

tolunq Mega Power Member

tolunq

Posté(e)
  • Auteur
Posté(e) (modifié)

je viens de tout vérifier car je n'avais aucun souvenir de ce logiciel...

 

rien dans "demarrer / tous les programmes"

rien dans le prg d'install et de désinstall de xp

rien dans le prg "supress plus" (prg idem que celui de xp)

rien dans program files

rien avec la fonction recherche "webroot spy wseeper" de xp

 

peut être que je l'ai installé un jour pouis enlevé mais je ne me souviens plus ... j'ai tellement essayé de prg de ce style pour essayer toutes les protections possibles :P, que j'ai viré ensuite car il y avait une limitation dans le tps ou dans les fonctions ...

 

par contre j'ai quand même un doute sur ce pb de keylogger. après renseignement sur google, spy wseeper fait bien la détection des "espions enregistreurs de frappes sur clavier" mais alors pourquoi, si sskbfd correspond bien à spy wseeper, mon kis le bloque ??? car visiblement, kis bloque un "espion enregistreur de mes frappes sur clavier" par le message qu'il m'envoie.... là je ne comprends pas.

 

et pourquoi, ne retrouvant pas ce spywseeper installé sur mon pc, serait il toujours actif avec ce sskbdf que mon kis bloque ?

 

en dernier ressort, j'ai fait une recherche sur google et j'ai vu que pas mal de monde avait des pb avec ce prg pour le supprimer ... je l'ai donc réinstaller comme tu me l'indiquais et j'ai ensuite eu d'autres pb similaires à ce post trouvé sur zebulon : http://forum.zebulon.fr/probleme-de-desins...py-t142818.html

 

j'ai donc telechargé et installé Revo et visiblement tout est désintallé ... :P merci revo ... je connaissais pas !

 

------------------------------------------------

 

par contre j'ai toujours le même pb au lancement de windows ... lent ! très lent !

- du démarrage du pc à l'écran du multiboot, j'ai 25 " d'attente environ

- du multiboot à l'écran windows du choix des comptes à ouvrir ---> 1'20"

- de l'ouverture du compte au bureau ---> 1'30"

- jusqu'à ce que le bureau soit tout à fait "operationnel --> encore 20 à 30 " à attendre ...

(car j'ai des icones dans la barre des taches, qui sont très longues à s'ouvrir ...). peut être ai je trop de prg qui ce lancent au démarrage ?

j'ai entre autre : ccleaner, superantispyware, malwarebytes'anti-malware,

faut il les laisser se lancer automatiquement ou alors les utiliser une fois par semaine par exemple, lors d'analyses programmées ?

 

j'ai jusre fait à l'instant une recherche avec malwarebytes'anti-malware sur c:

Il m'a trouvé ça : Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> No action taken.

 

que dois je faire ??? il est donc pas tout a fait parti ce môdit EoRezo :P

Modifié par tolunq

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...