SOS Infection (Résolu)

[catch1]

Ai oublié de dire que tout fonctionne sans antivirus. Cela pose-t-il un problème?

[pear]

Ne vous affolez pas à cause de disfonctionnements.

Ce n'est pas le plus grave.

 

 

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

Driver::

ethbsxni

ethzqbeq

 

File::

c:\windows\system32\18.tmp

c:\windows\system32\17.tmp

c:\windows\system32\15.tmp

c:\windows\system32\13.tmp

C:\1C.tmp

C:\1B.tmp

C:\1A.tmp

C:\19.tmp

c:\windows\system32\12.tmp

c:\windows\system32\D.tmp

c:\documents and settings\HP_Propriétaire\Application Data\.ABC

c:\windows\system32\72.tmp

c:\windows\system32\6F.tmp

c:\windows\system32\10.tmp

c:\windows\system32\8.tmp

C:\F1.tmp

C:\F0.tmp

C:\EF.tmp

c:\windows\system32\EE.tmp

c:\windows\system32\EB.tmp

c:\windows\SlantAdj.dll

c:\windows\ADE.DLL

c:\windows\Ade001.bin

c:\windows\system32\epDPE.ini

c:\windows\EPSTPLOG.BAK

C:\E.tmp

c:\windows\system32\6.tmp

c:\windows\system32\14.tmp

c:\windows\system32\11.tmp

c:\windows\system32\E.tmp

c:\windows\system32\16.tmp

c:\windows\system32\B.tmp

c:\windows\system32\7F.tmp

c:\windows\system32\5.tmp

c:\windows\system32\A.tmp

c:\windows\system32\2.tmp

c:\windows\system32\4.tmp

C:\D.tmp

c:\windows\system32\3.tmp

c:\windows\system32\Epcmlib.dll

c:\windows\system32\F.tmp

C:\C3.tmp

C:\windows\system32\99.tmp

c:\windows\system32\9D.tmp

c:\windows\Tasks\el.job

c:\windows\Tasks\elu.job

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Ensuite relancez Dr Web comme précédemment.

Modifié le 5 avril 2009 par pear

[catch1]

Tout d'abord, quelques précisions :

Dans les manips, pour être sûr que l'antivirus ne gêne pas, il est complètement désinstallé. Dois-je le réinstaller?

Si nous devons réinstaller Windows, il existe d'origine une copie de Windows spécialement pour ça sur une partition spéciale accessibble par démarrage+f10.

J'ai aussi 2 CD de sauvegarde créés à l'origine de la mise en service du PC.

 

J'ai appliqué ComboFix avec le script, puis,CureIt.

Il semble que la situation s'améliore. CureIt ne détecte plus que 6 fois Virut.

 

Voici les rapports :

ComboFix 09-04-03.01 - HP_Propriétaire 2009-04-05 11:09:56.3 - NTFSx86

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt

 

FILE ::

C:\19.tmp

C:\1A.tmp

C:\1B.tmp

C:\1C.tmp

C:\C3.tmp

C:\D.tmp

c:\documents and settings\HP_Propriétaire\Application Data\.ABC

C:\E.tmp

C:\EF.tmp

C:\F0.tmp

C:\F1.tmp

c:\windows\ADE.DLL

c:\windows\Ade001.bin

c:\windows\EPSTPLOG.BAK

c:\windows\SlantAdj.dll

c:\windows\system32\10.tmp

c:\windows\system32\11.tmp

c:\windows\system32\12.tmp

c:\windows\system32\13.tmp

c:\windows\system32\14.tmp

c:\windows\system32\15.tmp

c:\windows\system32\16.tmp

c:\windows\system32\17.tmp

c:\windows\system32\18.tmp

c:\windows\system32\2.tmp

c:\windows\system32\3.tmp

c:\windows\system32\4.tmp

c:\windows\system32\5.tmp

c:\windows\system32\6.tmp

c:\windows\system32\6F.tmp

c:\windows\system32\72.tmp

c:\windows\system32\7F.tmp

c:\windows\system32\8.tmp

c:\windows\system32\99.tmp

c:\windows\system32\9D.tmp

c:\windows\system32\A.tmp

c:\windows\system32\B.tmp

c:\windows\system32\D.tmp

c:\windows\system32\E.tmp

c:\windows\system32\EB.tmp

c:\windows\system32\EE.tmp

c:\windows\system32\Epcmlib.dll

c:\windows\system32\epDPE.ini

c:\windows\system32\F.tmp

c:\windows\Tasks\el.job

c:\windows\Tasks\elu.job

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\19.tmp

C:\1A.tmp

C:\1B.tmp

C:\1C.tmp

C:\C3.tmp

C:\D.tmp

C:\E.tmp

C:\EF.tmp

C:\F0.tmp

C:\F1.tmp

c:\windows\ADE.DLL

c:\windows\Ade001.bin

c:\windows\EPSTPLOG.BAK

c:\windows\SlantAdj.dll

c:\windows\system32\10.tmp

c:\windows\system32\11.tmp

c:\windows\system32\12.tmp

c:\windows\system32\13.tmp

c:\windows\system32\14.tmp

c:\windows\system32\15.tmp

c:\windows\system32\16.tmp

c:\windows\system32\17.tmp

c:\windows\system32\18.tmp

c:\windows\system32\2.tmp

c:\windows\system32\3.tmp

c:\windows\system32\4.tmp

c:\windows\system32\5.tmp

c:\windows\system32\6.tmp

c:\windows\system32\6F.tmp

c:\windows\system32\72.tmp

c:\windows\system32\7F.tmp

c:\windows\system32\8.tmp

c:\windows\system32\99.tmp

c:\windows\system32\9D.tmp

c:\windows\system32\A.tmp

c:\windows\system32\B.tmp

c:\windows\system32\D.tmp

c:\windows\system32\E.tmp

c:\windows\system32\EB.tmp

c:\windows\system32\EE.tmp

c:\windows\system32\Epcmlib.dll

c:\windows\system32\epDPE.ini

c:\windows\system32\F.tmp

c:\windows\Tasks\el.job

c:\windows\Tasks\elu.job

 

c:\windows\system32\svchost.exe . . . est infecté!!

 

c:\windows\system32\spoolsv.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-05 au 2009-04-05 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-04 21:58 . 2004-08-05 20:00 1,055,232 --a------ c:\windows\explorer.backup

2009-04-04 21:58 . 2004-08-05 20:00 76,800 --a------ c:\windows\system32\spoolsv.backup

2009-04-04 21:57 . 2004-08-05 20:00 33,280 --a------ c:\windows\system32\svchost.backup

2009-04-04 21:54 . 2009-04-04 22:24 <REP> d-------- C:\FR-files

2009-04-04 21:46 . 2009-04-04 21:58 <REP> d-------- C:\WinFileReplace

2009-04-04 19:53 . 2009-04-04 19:53 11,452,389 --a------ c:\windows\services.ex_

2009-04-04 16:47 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\LPT$VPN.943

2009-04-04 16:46 . 2009-04-04 16:46 <REP> d-------- c:\windows\AU_Temp

2009-04-04 16:46 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\VPTNFILE.943

2009-04-04 08:26 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\program files\Avira

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 08:35 . 2009-04-03 14:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\.ABC

2009-04-02 17:20 . 2009-04-05 06:28 <REP> d-------- c:\program files\Sudoku

2009-04-02 16:51 . 2009-04-02 16:51 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Goto.Games

2009-04-02 16:46 . 2009-04-02 16:47 <REP> d-------- c:\program files\Objectif Tarot

2009-04-02 16:46 . 2009-04-02 16:46 150,528 --a------ c:\windows\system32\SpoonUninstall.exe

2009-04-02 16:46 . 2009-04-02 16:46 82,994 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.bmp

2009-04-02 16:46 . 2009-04-02 16:46 1,722 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.dat

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:28 . 2009-04-03 21:59 98,304 --a------ c:\windows\system32\qttask.exe

2009-04-02 16:24 . 2004-02-17 10:11 53,248 --a------ c:\windows\system32\vp6dec_settings.cpl

2009-04-02 16:23 . 2003-08-18 05:10 122,880 --a------ c:\windows\system32\directx.cpl

2009-04-02 16:23 . 2003-03-25 05:49 106,544 --a------ c:\windows\system32\tweakui.cpl

2009-04-02 16:23 . 2003-03-25 05:49 98,304 --a------ c:\windows\system32\startup.cpl

2009-04-02 16:23 . 2003-03-25 05:49 51,238 --a------ c:\windows\system32\tweakui.hlp

2009-04-02 16:18 . 2004-05-25 16:06 417,792 --a------ c:\windows\system32\ac3filter.cpl

2009-04-02 16:10 . 2009-04-02 16:10 242,176 --a------ c:\windows\~INSX362.EX_

2009-04-02 15:52 . 2009-04-02 15:52 <REP> d-------- C:\bases

2009-04-02 15:08 . 2009-04-02 15:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\vlc

2009-04-02 15:02 . 2009-04-02 15:02 124 --a------ c:\windows\system32\7.tmp

2009-04-02 14:53 . 2009-04-03 20:54 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2009-04-02 12:23 . 2009-04-02 12:23 <REP> d-------- c:\windows\system32\fr-fr

2009-04-02 11:58 . 2009-04-02 11:58 <REP> d-------- C:\6761876ae56e766ef0e09bcba4e9d4b7

2009-04-02 11:39 . 2009-04-04 16:26 <REP> d-------- c:\program files\Spamihilator

2009-04-02 11:01 . 2009-04-04 18:43 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Spamihilator

2009-04-02 10:57 . 2009-04-02 10:57 130,813 --a------ C:\F3.tmp

2009-04-02 10:39 . 2009-04-02 10:39 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Microsoft Web Folders

2009-04-02 10:35 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2009-04-02 10:31 . 2001-11-02 15:10 184,320 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr

2009-04-02 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-04-02 09:58 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-04-02 09:57 . 2003-05-23 03:06 73,869 --a------ c:\windows\system32\EBPMON24.DLL

2009-04-02 09:57 . 2003-05-21 04:27 64,000 --a------ c:\windows\system32\ECBTEG.DLL

2009-04-02 09:57 . 2009-04-03 21:58 39,936 --a------ c:\windows\system32\drivers\CDAC11BA.EXE

2009-04-02 09:57 . 2000-06-07 03:01 34,304 --a------ c:\windows\system32\EBPCHP.DLL

2009-04-02 09:57 . 2001-09-04 04:04 182 --a------ c:\windows\system32\EBPPORT4.DAT

2009-04-02 09:56 . 2009-04-02 09:56 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\ABBYY

2009-04-02 09:54 . 2003-04-02 00:00 217,088 --a------ c:\windows\system32\esdtr.dll

2009-04-02 09:54 . 2001-11-15 00:00 47,104 --a------ c:\windows\system32\escimgd.dll

2009-04-02 09:54 . 2002-06-20 00:00 32,256 --a------ c:\windows\system32\escwiad.dll

2009-04-02 09:54 . 2002-06-20 00:00 22,528 --a------ c:\windows\system32\esccmd.dll

2009-04-02 06:54 . 2009-04-04 21:49 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Orbit

2009-04-02 06:50 . 2009-04-02 06:50 172,032 --a------ c:\windows\system32\AniGIF.ocx

2009-04-02 06:35 . 1997-09-28 14:22 92,672 --a------ c:\windows\system32\COMDLG32.OCX

2009-04-02 06:35 . 1997-09-28 14:22 37,376 --a------ c:\windows\system32\VbVfw.dll

2009-04-02 03:09 . 2009-04-02 03:31 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-04-02 03:06 . 2008-08-14 15:44 2,182,400 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,059,776 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-02 03:03 . 2008-10-24 13:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys

2009-04-02 03:01 . 2006-09-06 16:43 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys

2009-04-02 01:07 . 2009-04-02 01:07 8,192 --a------ c:\windows\system32\edb.chk

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-05 11:09 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2009-04-05 11:09 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Symantec

2009-04-02 01:06 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\SampleView

2009-04-02 01:06 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer

2009-04-02 01:06 . 2009-04-04 22:29 <REP> d-------- c:\documents and settings\HP_Propriétaire

2009-04-02 01:06 . 2004-08-05 20:00 221,184 --a------ c:\windows\system32\wmpns.dll

2009-04-02 01:06 . 2009-04-02 01:06 1,832 -rahs---- c:\windows\system32\drivers\103C_HP_CPC_EC616AA-ABF t3128.fr_YC_0Pavi_QCZC531_E53FRheBLU4_47_IAMETHYST-M_SMSI_V1.0_B3.20_T050708_WXH2_L40C_M383_J160_7AMD_8Sempron_91.79_#060127_N10EC8

139_Z11C1048C_G10025954_OLITE-ON DVDRW SOHW-1633S_DPTS0307.MRK

2009-04-02 01:02 . 2005-01-02 03:48 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS

2009-04-02 01:02 . 2005-01-02 04:07 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Symantec

2009-04-02 01:02 . 2005-01-02 03:58 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\SampleView

2009-04-02 01:02 . 2005-01-02 03:47 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Apple Computer

2009-04-02 00:50 . 2009-04-03 12:13 94,208 --a------ c:\windows\DUMP98e4.tmp

2009-04-02 00:50 . 2009-04-02 20:32 94,208 --a------ c:\windows\DUMP832a.tmp

2009-04-01 22:06 . 2009-04-03 18:55 <REP> d-------- C:\Copie mes documents

2009-04-01 18:10 . 2009-04-01 18:10 <REP> d-------- c:\windows\ERUNT

2009-04-01 18:09 . 2009-04-04 22:24 130 --a------ c:\windows\adobe.bat

2009-04-01 18:09 . 2009-04-04 19:53 7 --a------ c:\windows\_id.dat

2009-04-01 18:08 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\WINDOWS

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage réseau

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage d'impression

2009-04-01 18:08 . 2008-10-11 03:30 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Modèles

2009-04-01 18:08 . 2005-01-02 04:16 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Mes documents

2009-04-01 18:08 . 2004-11-25 05:26 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Menu Démarrer

2009-04-01 18:08 . 2008-10-10 19:05 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Favoris

2009-04-01 18:08 . 2005-01-02 03:51 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Bureau

2009-04-01 18:08 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Symantec

2009-04-01 18:08 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\SampleView

2009-04-01 18:08 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Apple Computer

2009-04-01 18:08 . 2009-04-01 21:35 <REP> d-------- c:\documents and settings\Administrateur.CHRIS

2009-04-01 15:58 . 2009-04-01 18:55 <REP> d-------- C:\SDFix

2009-04-01 10:06 . 2009-04-01 10:06 0 --a------ C:\F.tmp

2009-04-01 09:52 . 2009-04-01 09:52 <REP> d-------- c:\program files\CleanUp!

2009-04-01 08:13 . 2009-04-01 08:13 0 --a------ C:\C.tmp

2009-04-01 08:10 . 2009-04-01 08:10 0 --a------ C:\B.tmp

2009-03-31 06:03 . 2009-03-31 06:10 <REP> d-------- c:\windows\vf_hip

2009-03-31 06:03 . 2009-03-31 08:52 <REP> d-------- c:\program files\Hide IP Platinum

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Tetris

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Intelore

2009-03-31 04:44 . 2009-03-31 05:07 <REP> d-------- c:\windows\vf_hip(2)

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-04 21:16 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-04-04 20:26 182,912 ----a-w c:\windows\system32\drivers\ndis.sys

2009-04-04 14:46 91,744 -c--a-w c:\windows\BPMNT.dll

2009-04-04 14:46 1,213,784 -c--a-w c:\windows\vsapi32.dll

2009-04-04 14:45 69,689 -c--a-w c:\windows\UNZIP.DLL

2009-04-04 14:45 507,904 -c--a-w c:\windows\TMUPDATE.DLL

2009-04-04 10:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-03 20:00 --------- d-----w c:\program files\DAP

2009-04-03 19:58 57,344 ----a-w c:\windows\ALCXMNTR.EXE

2009-04-03 15:50 --------- d-----w c:\program files\Microsoft Money

2009-04-03 06:35 --------- d-----w c:\program files\ABC

2009-04-03 05:10 --------- d-----w c:\program files\Smart Panel

2009-04-03 05:09 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 04:58 --------- d-----w c:\program files\EPSON

2009-04-02 20:32 --------- d-----w c:\program files\AsfTools

2009-04-02 14:34 --------- d-----w c:\program files\BzTarot

2009-04-02 14:28 --------- d-----w c:\program files\Quicktime

2009-04-02 14:26 --------- d-----w c:\program files\ACE Mega CoDecS Pack

2009-04-02 13:48 --------- d-----w c:\program files\ACD Systems

2009-04-02 13:36 --------- d-----w c:\program files\Microsoft Bootvis

2009-04-02 11:57 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-04-02 09:37 --------- d-----w c:\program files\Orbitdownloader

2009-04-02 08:58 --------- d-----w c:\program files\Eliminate Spam!

2009-04-02 08:38 --------- d-----w c:\program files\microsoft frontpage

2009-04-02 04:57 --------- d-----w c:\program files\A.S.C

2009-04-02 04:36 --------- d-----w c:\program files\PeckJoin

2009-04-02 03:56 --------- d-----w c:\program files\CCleaner

2009-04-02 03:53 --------- d-----w c:\program files\Easy Internet signup

2009-04-01 23:08 --------- d-----w c:\program files\Symantec

2009-04-01 23:08 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-01 07:25 71,749 -c--a-w c:\windows\hcextoutput.dll

2009-04-01 07:25 368,709 -c--a-w c:\windows\tsc.exe

2009-04-01 03:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-01 00:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 05:50 --------- d-----w c:\program files\eMule

2009-03-28 10:26 --------- d-----w c:\program files\TomTom HOME 2

2009-03-18 15:38 --------- d-----w c:\program files\Tomtomax Maxi-Box

2009-03-18 13:34 --------- d-----w c:\program files\Yahoo!

2009-02-22 09:26 --------- d-----w c:\program files\WinAVI Video Converter 9.0

2009-02-16 14:17 --------- d-----w c:\program files\Video Strip Poker Full Version - NICOLE

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2007-01-28 18:20 22 --sha-w c:\windows\SMINST\HPCD.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

.

 

------- Sigcheck -------

 

2004-08-05 20:00 33280 f2e9e2bb32afa47558ed88a19c00d32a c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-14 04:34 33280 4d185cc4379906b3131dfeb549a2a27e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe

2008-04-14 04:34 33280 d938f7919cdae924800ff857482dd052 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\svchost.exe

2004-08-05 20:00 33280 b64728c2d7811feafca419971a66e77a c:\windows\system32\svchost.exe

2004-08-19 16:10 33280 e76f08a97b7a2bda73b45cabf4d0da61 c:\windows\system32\dllcache\svchost.exe

 

2004-08-05 20:00 1055232 1106938394d8b4ff93a3e39ac94de537 c:\windows\explorer.exe

2007-06-13 15:10 1056256 6e77d2e39fdf839e2475406b0e854d9f c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 20:00 1055232 678e4eae8ed8741191bac5743157f12f c:\windows\$NtServicePackUninstall$\explorer.exe

2004-08-05 20:00 1055232 3a52c5525902fb158b435f5dcc9764fe c:\windows\$NtUninstallKB938828$\explorer.exe

2008-04-14 04:34 1056768 58f989c78fcfa836ac446b39a9e49d0c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe

2008-04-14 04:34 1056768 2a6361367c665bec3f2b31c423af2cf8 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\explorer.exe

2004-08-19 16:09 1055232 25ab848cad24b4e7ce74167edf1aefc8 c:\windows\system32\dllcache\explorer.exe

 

2004-08-05 20:00 34304 ecf932debc3adb435a516f58ddffec9d c:\windows\$NtServicePackUninstall$\ctfmon.exe

2008-04-14 04:33 34304 8181a7405cfba23178508c8b837e1333 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe

2008-04-14 04:33 34304 330f39a904e20672ffc4a035fb3e78af c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ctfmon.exe

2009-04-03 21:58 15360 14f3132dc8d481eba108ba9e2cf1389e c:\windows\system32\ctfmon.exe

2004-08-05 20:00 34304 9b8145273b153cba00630a03f3ffd31c c:\windows\system32\dllcache\ctfmon.exe

 

2005-06-11 02:17 76800 101d417010dee6004a41675dad35b720 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-05 20:00 76800 68167077066c4e7712b48d0268a46130 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2004-08-05 20:00 76800 67a22c54ac31dc3b94a01db45d77b642 c:\windows\$NtUninstallKB896423$\spoolsv.exe

2008-04-14 04:34 76800 59d0d18b7cd8d3811282751758e94372 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe

2008-04-14 04:34 76800 9beabc5acd60828b61be65231878f7a5 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\spoolsv.exe

2004-08-05 20:00 76800 72a3d83bbf4465545e482a8de7cb68d1 c:\windows\system32\spoolsv.exe

2004-08-19 16:10 76800 ab2ca4a6307c714213ea4be8d0da93d3 c:\windows\system32\dllcache\spoolsv.exe

 

2004-08-05 20:00 44032 340283e6986ec63596f2e16d06e21279 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 04:34 45568 26bf6b49401333ff2d061a47ccfb90f5 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

2008-04-14 04:34 45568 4cf572364737db447420c278abdfab49 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\userinit.exe

2009-04-03 21:59 25088 1fa37ceb2e7eb9fc851d14ad1a56a335 c:\windows\system32\userinit.exe

2004-08-05 20:00 44032 7e493f374f6fda57e47bc498a9ba9bf3 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-04-04_19.07.46.53 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-04-04 16:47:55 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-04-05 08:51:48 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-04-04 16:47:55 49,152 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-04-05 08:51:48 49,152 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2009-04-04 16:47:55 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012009040420090405\index.dat

+ 2009-04-04 20:17:33 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012009040420090405\index.dat

- 2009-04-02 14:08:17 213,376 ----a-w c:\windows\system32\dllcache\ndis.sys

+ 2009-04-04 17:53:17 213,376 ----a-w c:\windows\system32\dllcache\ndis.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-04-03 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2009-04-03 139264]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.CHRIS\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.NOM-EB85C523610.000\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"msacm.msadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msadp32.acm

"msacm.imaadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\imaadp32.acm

"msacm.msg711"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg711.acm

"msacm.msg723"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg723.acm

"msacm.msgsm610"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msgsm32.acm

"vidc.m261"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh261.drv

"vidc.m263"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.i420"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.mrle"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msrle32.dll

"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.msvc"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.cram"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.mpg4"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp41"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp42"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp43"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4s"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4v"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.wmv3"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\WMV9VCM.dll

"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msaud32.acm

"vidc.vp30"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp31"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp60"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

"vidc.vp61"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8emc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

 

R1 ethbsxni;ethbsxni; [x]

R1 ethzqbeq;ethzqbeq; [x]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-05 127233]

 

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - AFD

*Deregistered* - AntiVirSchedulerService

*Deregistered* - AntiVirService

*Deregistered* - Arp1394

*Deregistered* - Ati HotKey Poller

*Deregistered* - audstub

*Deregistered* - avgio

*Deregistered* - avgntflt

*Deregistered* - avipbb

*Deregistered* - Beep

*Deregistered* - Browser

*Deregistered* - C-DillaCdaC11BA

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - Fastfat

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - Gpc

*Deregistered* - IpNat

*Deregistered* - IPSec

*Deregistered* - KSecDD

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - mnmdd

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Nla

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - PartMgr

*Deregistered* - Pml Driver HPZ12

*Deregistered* - PptpMiniport

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - RpcSs

*Deregistered* - seclogon

*Deregistered* - sr

*Deregistered* - Srv

*Deregistered* - ssmdrv

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - wuauserv

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-04-03 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.sfr.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Download with &DAP - c:\progra~1\DAP\dapextie.htm

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-05 11:16:14

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(532)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WININET.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\windows\system32\HPZipm12.exe

.

**************************************************************************

.

Heure de fin: 2009-04-05 11:21:21 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-05 09:21:18

ComboFix2.txt 2009-04-04 20:43:45

 

Avant-CF: 42 105 761 792 octets libres

Après-CF: 42,099,924,992 octets libres

 

510 --- E O F --- 2009-04-02 07:30:34

 

puis CureIt :

 

avguard.exe c:\program files\avira\antivir desktop Win32.Virut.56 Désinfecté.

sched.exe c:\program files\avira\antivir desktop Win32.Virut.56 Désinfecté.

iexplore.exe c:\program files\internet explorer Win32.Virut.56 Désinfecté.

explorer.exe c:\windows Win32.Virut.56 Désinfecté.

spoolsv.exe c:\windows\system32 Win32.Virut.56 Désinfecté.

svchost.exe c:\windows\system32 Win32.Virut.56 Désinfecté.

 

 

Que dois-je faire pour l'antivirus?

 

A bientôt

[pear]

bonsoir,

 

Désinstallez Combofix:

C'est indispensable pour une bonne suite:

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

*Double cliquer sur combofix.exe pour le lancer.

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

Driver::

ethbsxni

ethzqbeq

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

 

Téléchargez:

http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe

 

Un fois lancé, l'outil vérifie que la version de l'OS, la langue d'installation,

et le service pack installé sont bien pris en charge.

ensuite il ouvre le bloc-note pour que la liste des fichiers à remplacé soit saisie.

Il suffit de mettre le chemin complet de chaque fichier à remplacer,

 

c:\windows\system32\svchost.exe

c:\windows\system32\spoolsv.exe

c:\windows\explorer.exe

 

A la fermeture du bloc-note, l'outil télécharge le service pack correspondant puis extrait les fichiers sélectionnés de celui-ci .

Après,il confirme que le remplacement des fichiers sélectionnés est effectué et une invite demande le redémarrage du PC.

 

 

Ensuite , relancez Combofix, svp.

 

 

 

 

 

""

[catch1]

Bonsoir,

Le virus fait de la résistance.

Dois-je télécharger un nouvel antivirus?

Après la désinstallation de Combofix, j'ai récupéré une connection normale. Je l'ai reperdue par la suite après les nouveaux passages de ComboFix.

Je joins les 4 logs générés :

 

ComboFix 09-04-04.01 - HP_Propriétaire 2009-04-05 20:36:01.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.382.132 [GMT 2:00]

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated)

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\svchost.exe . . . est infecté!!

 

c:\windows\system32\spoolsv.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-05 au 2009-04-05 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-04 21:58 . 2004-08-05 20:00 1,055,232 --a------ c:\windows\explorer.backup

2009-04-04 21:58 . 2004-08-05 20:00 76,800 --a------ c:\windows\system32\spoolsv.backup

2009-04-04 21:57 . 2004-08-05 20:00 33,280 --a------ c:\windows\system32\svchost.backup

2009-04-04 21:54 . 2009-04-04 22:24 <REP> d-------- C:\FR-files

2009-04-04 21:46 . 2009-04-04 21:58 <REP> d-------- C:\WinFileReplace

2009-04-04 19:53 . 2009-04-04 19:53 11,452,389 --a------ c:\windows\services.ex_

2009-04-04 16:47 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\LPT$VPN.943

2009-04-04 16:46 . 2009-04-04 16:46 <REP> d-------- c:\windows\AU_Temp

2009-04-04 16:46 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\VPTNFILE.943

2009-04-04 08:26 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\program files\Avira

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 08:35 . 2009-04-03 14:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\.ABC

2009-04-02 17:20 . 2009-04-05 06:28 <REP> d-------- c:\program files\Sudoku

2009-04-02 16:51 . 2009-04-02 16:51 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Goto.Games

2009-04-02 16:46 . 2009-04-02 16:47 <REP> d-------- c:\program files\Objectif Tarot

2009-04-02 16:46 . 2009-04-02 16:46 150,528 --a------ c:\windows\system32\SpoonUninstall.exe

2009-04-02 16:46 . 2009-04-02 16:46 82,994 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.bmp

2009-04-02 16:46 . 2009-04-02 16:46 1,722 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.dat

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:28 . 2009-04-03 21:59 98,304 --a------ c:\windows\system32\qttask.exe

2009-04-02 16:24 . 2004-02-17 10:11 53,248 --a------ c:\windows\system32\vp6dec_settings.cpl

2009-04-02 16:23 . 2003-08-18 05:10 122,880 --a------ c:\windows\system32\directx.cpl

2009-04-02 16:23 . 2003-03-25 05:49 106,544 --a------ c:\windows\system32\tweakui.cpl

2009-04-02 16:23 . 2003-03-25 05:49 98,304 --a------ c:\windows\system32\startup.cpl

2009-04-02 16:23 . 2003-03-25 05:49 51,238 --a------ c:\windows\system32\tweakui.hlp

2009-04-02 16:18 . 2004-05-25 16:06 417,792 --a------ c:\windows\system32\ac3filter.cpl

2009-04-02 16:10 . 2009-04-02 16:10 242,176 --a------ c:\windows\~INSX362.EX_

2009-04-02 15:52 . 2009-04-02 15:52 <REP> d-------- C:\bases

2009-04-02 15:08 . 2009-04-02 15:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\vlc

2009-04-02 15:02 . 2009-04-02 15:02 124 --a------ c:\windows\system32\7.tmp

2009-04-02 14:53 . 2009-04-03 20:54 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2009-04-02 12:23 . 2009-04-02 12:23 <REP> d-------- c:\windows\system32\fr-fr

2009-04-02 11:58 . 2009-04-02 11:58 <REP> d-------- C:\6761876ae56e766ef0e09bcba4e9d4b7

2009-04-02 11:39 . 2009-04-04 16:26 <REP> d-------- c:\program files\Spamihilator

2009-04-02 11:01 . 2009-04-04 18:43 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Spamihilator

2009-04-02 10:57 . 2009-04-02 10:57 130,813 --a------ C:\F3.tmp

2009-04-02 10:39 . 2009-04-02 10:39 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Microsoft Web Folders

2009-04-02 10:35 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2009-04-02 10:31 . 2001-11-02 15:10 184,320 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr

2009-04-02 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-04-02 09:58 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-04-02 09:57 . 2003-05-23 03:06 73,869 --a------ c:\windows\system32\EBPMON24.DLL

2009-04-02 09:57 . 2003-05-21 04:27 64,000 --a------ c:\windows\system32\ECBTEG.DLL

2009-04-02 09:57 . 2009-04-03 21:58 39,936 --a------ c:\windows\system32\drivers\CDAC11BA.EXE

2009-04-02 09:57 . 2000-06-07 03:01 34,304 --a------ c:\windows\system32\EBPCHP.DLL

2009-04-02 09:57 . 2001-09-04 04:04 182 --a------ c:\windows\system32\EBPPORT4.DAT

2009-04-02 09:56 . 2009-04-02 09:56 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\ABBYY

2009-04-02 09:54 . 2003-04-02 00:00 217,088 --a------ c:\windows\system32\esdtr.dll

2009-04-02 09:54 . 2001-11-15 00:00 47,104 --a------ c:\windows\system32\escimgd.dll

2009-04-02 09:54 . 2002-06-20 00:00 32,256 --a------ c:\windows\system32\escwiad.dll

2009-04-02 09:54 . 2002-06-20 00:00 22,528 --a------ c:\windows\system32\esccmd.dll

2009-04-02 06:54 . 2009-04-04 21:49 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Orbit

2009-04-02 06:50 . 2009-04-02 06:50 172,032 --a------ c:\windows\system32\AniGIF.ocx

2009-04-02 06:35 . 1997-09-28 14:22 92,672 --a------ c:\windows\system32\COMDLG32.OCX

2009-04-02 06:35 . 1997-09-28 14:22 37,376 --a------ c:\windows\system32\VbVfw.dll

2009-04-02 03:09 . 2009-04-02 03:31 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-04-02 03:06 . 2008-08-14 15:44 2,182,400 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,059,776 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-02 03:03 . 2008-10-24 13:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys

2009-04-02 03:01 . 2006-09-06 16:43 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys

2009-04-02 01:07 . 2009-04-02 01:07 8,192 --a------ c:\windows\system32\edb.chk

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-05 20:29 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2009-04-05 20:29 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Symantec

2009-04-02 01:06 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\SampleView

2009-04-02 01:06 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer

2009-04-02 01:06 . 2009-04-04 22:29 <REP> d-------- c:\documents and settings\HP_Propriétaire

2009-04-02 01:06 . 2004-08-05 20:00 221,184 --a------ c:\windows\system32\wmpns.dll

2009-04-02 01:06 . 2009-04-02 01:06 1,832 -rahs---- c:\windows\system32\drivers\103C_HP_CPC_EC616AA-ABF t3128.fr_YC_0Pavi_QCZC531_E53FRheBLU4_47_IAMETHYST-M_SMSI_V1.0_B3.20_T050708_WXH2_L40C_M383_J160_7AMD_8Sempron_91.79_#060127_N10EC8

139_Z11C1048C_G10025954_OLITE-ON DVDRW SOHW-1633S_DPTS0307.MRK

2009-04-02 01:02 . 2005-01-02 03:48 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS

2009-04-02 01:02 . 2005-01-02 04:07 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Symantec

2009-04-02 01:02 . 2005-01-02 03:58 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\SampleView

2009-04-02 01:02 . 2005-01-02 03:47 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Apple Computer

2009-04-02 00:50 . 2009-04-03 12:13 94,208 --a------ c:\windows\DUMP98e4.tmp

2009-04-02 00:50 . 2009-04-02 20:32 94,208 --a------ c:\windows\DUMP832a.tmp

2009-04-01 22:06 . 2009-04-03 18:55 <REP> d-------- C:\Copie mes documents

2009-04-01 18:10 . 2009-04-01 18:10 <REP> d-------- c:\windows\ERUNT

2009-04-01 18:09 . 2009-04-04 22:24 130 --a------ c:\windows\adobe.bat

2009-04-01 18:09 . 2009-04-04 19:53 7 --a------ c:\windows\_id.dat

2009-04-01 18:08 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\WINDOWS

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage réseau

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage d'impression

2009-04-01 18:08 . 2008-10-11 03:30 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Modèles

2009-04-01 18:08 . 2005-01-02 04:16 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Mes documents

2009-04-01 18:08 . 2004-11-25 05:26 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Menu Démarrer

2009-04-01 18:08 . 2008-10-10 19:05 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Favoris

2009-04-01 18:08 . 2005-01-02 03:51 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Bureau

2009-04-01 18:08 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Symantec

2009-04-01 18:08 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\SampleView

2009-04-01 18:08 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Apple Computer

2009-04-01 18:08 . 2009-04-01 21:35 <REP> d-------- c:\documents and settings\Administrateur.CHRIS

2009-04-01 10:06 . 2009-04-01 10:06 0 --a------ C:\F.tmp

2009-04-01 09:52 . 2009-04-01 09:52 <REP> d-------- c:\program files\CleanUp!

2009-04-01 08:13 . 2009-04-01 08:13 0 --a------ C:\C.tmp

2009-04-01 08:10 . 2009-04-01 08:10 0 --a------ C:\B.tmp

2009-03-31 06:03 . 2009-03-31 06:10 <REP> d-------- c:\windows\vf_hip

2009-03-31 06:03 . 2009-03-31 08:52 <REP> d-------- c:\program files\Hide IP Platinum

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Tetris

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Intelore

2009-03-31 04:44 . 2009-03-31 05:07 <REP> d-------- c:\windows\vf_hip(2)

2009-03-31 04:44 . 2009-03-31 05:07 <REP> d-------- c:\program files\Hide IP Platinum(2)

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-05 09:27 57,856 ----a-w c:\windows\system32\spoolsv.exe

2009-04-05 09:27 33,280 ----a-w c:\windows\system32\svchost.exe

2009-04-05 09:27 1,055,232 ----a-w c:\windows\explorer.exe

2009-04-04 21:16 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-04-04 20:26 182,912 ----a-w c:\windows\system32\drivers\ndis.sys

2009-04-04 17:53 213,376 ----a-w c:\windows\system32\dllcache\ndis.sys

2009-04-04 14:46 91,744 -c--a-w c:\windows\BPMNT.dll

2009-04-04 14:46 1,213,784 -c--a-w c:\windows\vsapi32.dll

2009-04-04 14:45 69,689 -c--a-w c:\windows\UNZIP.DLL

2009-04-04 14:45 507,904 -c--a-w c:\windows\TMUPDATE.DLL

2009-04-04 10:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-03 20:00 38,912 ----a-w c:\windows\system32\wdfmgr.exe

2009-04-03 20:00 295,424 ----a-w c:\windows\system32\vssvc.exe

2009-04-03 20:00 --------- d-----w c:\program files\DAP

2009-04-03 19:58 69,632 ----a-w c:\windows\system32\HPZipm12.exe

2009-04-03 19:58 659,456 ----a-w c:\windows\system32\hphmon06.exe

2009-04-03 19:58 57,344 ----a-w c:\windows\ALCXMNTR.EXE

2009-04-03 19:58 5,632 ----a-w c:\windows\system32\cisvc.exe

2009-04-03 19:58 44,544 ----a-w c:\windows\system32\alg.exe

2009-04-03 19:58 400,896 ----a-w c:\windows\system32\cmd.exe

2009-04-03 19:58 364,544 ----a-w c:\windows\system32\ati2evxx.exe

2009-04-03 19:58 33,280 ----a-w c:\windows\system32\clipsrv.exe

2009-04-03 19:58 268,800 ----a-w c:\windows\system32\fxssvc.exe

2009-04-03 19:58 225,280 ----a-w c:\windows\system32\dmadmin.exe

2009-04-03 19:58 15,360 ----a-w c:\windows\system32\ctfmon.exe

2009-04-03 19:58 10,752 ----a-w c:\windows\system32\dumprep.exe

2009-04-03 15:50 --------- d-----w c:\program files\Microsoft Money

2009-04-03 06:35 --------- d-----w c:\program files\ABC

2009-04-03 05:10 --------- d-----w c:\program files\Smart Panel

2009-04-03 05:09 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 04:58 --------- d-----w c:\program files\EPSON

2009-04-02 20:32 --------- d-----w c:\program files\AsfTools

2009-04-02 14:34 --------- d-----w c:\program files\BzTarot

2009-04-02 14:28 --------- d-----w c:\program files\Quicktime

2009-04-02 14:26 --------- d-----w c:\program files\ACE Mega CoDecS Pack

2009-04-02 13:48 --------- d-----w c:\program files\ACD Systems

2009-04-02 13:36 --------- d-----w c:\program files\Microsoft Bootvis

2009-04-02 11:57 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-04-02 09:37 --------- d-----w c:\program files\Orbitdownloader

2009-04-02 08:58 --------- d-----w c:\program files\Eliminate Spam!

2009-04-02 08:38 --------- d-----w c:\program files\microsoft frontpage

2009-04-02 04:57 --------- d-----w c:\program files\A.S.C

2009-04-02 04:36 --------- d-----w c:\program files\PeckJoin

2009-04-02 03:56 --------- d-----w c:\program files\CCleaner

2009-04-02 03:53 --------- d-----w c:\program files\Easy Internet signup

2009-04-01 23:08 --------- d-----w c:\program files\Symantec

2009-04-01 23:08 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-01 07:25 71,749 -c--a-w c:\windows\hcextoutput.dll

2009-04-01 07:25 368,709 -c--a-w c:\windows\tsc.exe

2009-04-01 03:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-01 00:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 05:50 --------- d-----w c:\program files\eMule

2009-03-28 10:26 --------- d-----w c:\program files\TomTom HOME 2

2009-03-18 15:38 --------- d-----w c:\program files\Tomtomax Maxi-Box

2009-03-18 13:34 --------- d-----w c:\program files\Yahoo!

2009-02-22 09:26 --------- d-----w c:\program files\WinAVI Video Converter 9.0

2009-02-16 14:17 --------- d-----w c:\program files\Video Strip Poker Full Version - NICOLE

2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys

2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\dllcache\win32k.sys

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2007-01-28 18:20 22 --sha-w c:\windows\SMINST\HPCD.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

.

 

------- Sigcheck -------

 

2004-08-05 20:00 33280 f2e9e2bb32afa47558ed88a19c00d32a c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-14 04:34 33280 4d185cc4379906b3131dfeb549a2a27e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe

2008-04-14 04:34 33280 d938f7919cdae924800ff857482dd052 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\svchost.exe

2009-04-05 11:27 33280 aa2b6ae9c0c23e7362fd6366b73c6361 c:\windows\system32\svchost.exe

2004-08-19 16:10 33280 e76f08a97b7a2bda73b45cabf4d0da61 c:\windows\system32\dllcache\svchost.exe

 

2009-04-05 11:27 1055232 279c6db506073019ec5672431e6b034c c:\windows\explorer.exe

2007-06-13 15:10 1056256 6e77d2e39fdf839e2475406b0e854d9f c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 20:00 1055232 678e4eae8ed8741191bac5743157f12f c:\windows\$NtServicePackUninstall$\explorer.exe

2004-08-05 20:00 1055232 3a52c5525902fb158b435f5dcc9764fe c:\windows\$NtUninstallKB938828$\explorer.exe

2008-04-14 04:34 1056768 58f989c78fcfa836ac446b39a9e49d0c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe

2008-04-14 04:34 1056768 2a6361367c665bec3f2b31c423af2cf8 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\explorer.exe

2004-08-19 16:09 1055232 25ab848cad24b4e7ce74167edf1aefc8 c:\windows\system32\dllcache\explorer.exe

 

2004-08-05 20:00 34304 ecf932debc3adb435a516f58ddffec9d c:\windows\$NtServicePackUninstall$\ctfmon.exe

2008-04-14 04:33 34304 8181a7405cfba23178508c8b837e1333 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe

2008-04-14 04:33 34304 330f39a904e20672ffc4a035fb3e78af c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ctfmon.exe

2009-04-03 21:58 15360 14f3132dc8d481eba108ba9e2cf1389e c:\windows\system32\ctfmon.exe

2004-08-05 20:00 34304 9b8145273b153cba00630a03f3ffd31c c:\windows\system32\dllcache\ctfmon.exe

 

2005-06-11 02:17 76800 101d417010dee6004a41675dad35b720 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-05 20:00 76800 68167077066c4e7712b48d0268a46130 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2004-08-05 20:00 76800 67a22c54ac31dc3b94a01db45d77b642 c:\windows\$NtUninstallKB896423$\spoolsv.exe

2008-04-14 04:34 76800 59d0d18b7cd8d3811282751758e94372 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe

2008-04-14 04:34 76800 9beabc5acd60828b61be65231878f7a5 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\spoolsv.exe

2009-04-05 11:27 57856 5a25b5dbe254692021d638ad1b6960e0 c:\windows\system32\spoolsv.exe

2004-08-19 16:10 76800 ab2ca4a6307c714213ea4be8d0da93d3 c:\windows\system32\dllcache\spoolsv.exe

 

2004-08-05 20:00 44032 340283e6986ec63596f2e16d06e21279 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 04:34 45568 26bf6b49401333ff2d061a47ccfb90f5 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

2008-04-14 04:34 45568 4cf572364737db447420c278abdfab49 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\userinit.exe

2009-04-03 21:59 25088 1fa37ceb2e7eb9fc851d14ad1a56a335 c:\windows\system32\userinit.exe

2004-08-05 20:00 44032 7e493f374f6fda57e47bc498a9ba9bf3 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-04-03 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2009-04-03 139264]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.CHRIS\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.NOM-EB85C523610.000\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"msacm.msadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msadp32.acm

"msacm.imaadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\imaadp32.acm

"msacm.msg711"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg711.acm

"msacm.msg723"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg723.acm

"msacm.msgsm610"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msgsm32.acm

"vidc.m261"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh261.drv

"vidc.m263"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.i420"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.mrle"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msrle32.dll

"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.msvc"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.cram"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.mpg4"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp41"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp42"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp43"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4s"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4v"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.wmv3"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\WMV9VCM.dll

"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msaud32.acm

"vidc.vp30"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp31"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp60"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

"vidc.vp61"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8emc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

 

S1 ethbsxni;ethbsxni;c:\windows\system32\drivers\ethbsxni.sys --> c:\windows\system32\drivers\ethbsxni.sys [?]

S1 ethzqbeq;ethzqbeq;c:\windows\system32\drivers\ethzqbeq.sys --> c:\windows\system32\drivers\ethzqbeq.sys [?]

S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-04 108032]

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-04-03 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.sfr.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Download with &DAP - c:\progra~1\DAP\dapextie.htm

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-05 20:41:13

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(528)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WININET.DLL

.

Heure de fin: 2009-04-05 20:44:15

ComboFix-quarantined-files.txt 2009-04-05 18:44:13

ComboFix2.txt 2009-04-05 09:21:23

 

Avant-CF: 45 762 531 328 octets libres

Après-CF: 45,756,542,976 octets libres

 

346 --- E O F --- 2009-04-02 07:30:34

 

 

ComboFix 2 :ComboFix 09-04-04.01 - HP_Propriétaire 2009-04-05 20:51:02.5 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.382.112 [GMT 2:00]

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt.txt

AV: AntiVir Desktop *On-access scanning disabled* (Outdated)

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\svchost.exe . . . est infecté!!

 

c:\windows\system32\spoolsv.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_ethbsxni

-------\Service_ethzqbeq

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-05 au 2009-04-05 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-04 21:58 . 2004-08-05 20:00 1,055,232 --a------ c:\windows\explorer.backup

2009-04-04 21:58 . 2004-08-05 20:00 76,800 --a------ c:\windows\system32\spoolsv.backup

2009-04-04 21:57 . 2004-08-05 20:00 33,280 --a------ c:\windows\system32\svchost.backup

2009-04-04 21:54 . 2009-04-04 22:24 <REP> d-------- C:\FR-files

2009-04-04 21:46 . 2009-04-04 21:58 <REP> d-------- C:\WinFileReplace

2009-04-04 19:53 . 2009-04-04 19:53 11,452,389 --a------ c:\windows\services.ex_

2009-04-04 16:47 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\LPT$VPN.943

2009-04-04 16:46 . 2009-04-04 16:46 <REP> d-------- c:\windows\AU_Temp

2009-04-04 16:46 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\VPTNFILE.943

2009-04-04 08:26 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\program files\Avira

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 08:35 . 2009-04-03 14:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\.ABC

2009-04-02 17:20 . 2009-04-05 06:28 <REP> d-------- c:\program files\Sudoku

2009-04-02 16:51 . 2009-04-02 16:51 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Goto.Games

2009-04-02 16:46 . 2009-04-02 16:47 <REP> d-------- c:\program files\Objectif Tarot

2009-04-02 16:46 . 2009-04-02 16:46 150,528 --a------ c:\windows\system32\SpoonUninstall.exe

2009-04-02 16:46 . 2009-04-02 16:46 82,994 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.bmp

2009-04-02 16:46 . 2009-04-02 16:46 1,722 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.dat

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:28 . 2009-04-03 21:59 98,304 --a------ c:\windows\system32\qttask.exe

2009-04-02 16:24 . 2004-02-17 10:11 53,248 --a------ c:\windows\system32\vp6dec_settings.cpl

2009-04-02 16:23 . 2003-08-18 05:10 122,880 --a------ c:\windows\system32\directx.cpl

2009-04-02 16:23 . 2003-03-25 05:49 106,544 --a------ c:\windows\system32\tweakui.cpl

2009-04-02 16:23 . 2003-03-25 05:49 98,304 --a------ c:\windows\system32\startup.cpl

2009-04-02 16:23 . 2003-03-25 05:49 51,238 --a------ c:\windows\system32\tweakui.hlp

2009-04-02 16:18 . 2004-05-25 16:06 417,792 --a------ c:\windows\system32\ac3filter.cpl

2009-04-02 16:10 . 2009-04-02 16:10 242,176 --a------ c:\windows\~INSX362.EX_

2009-04-02 15:52 . 2009-04-02 15:52 <REP> d-------- C:\bases

2009-04-02 15:08 . 2009-04-02 15:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\vlc

2009-04-02 15:02 . 2009-04-02 15:02 124 --a------ c:\windows\system32\7.tmp

2009-04-02 14:53 . 2009-04-03 20:54 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2009-04-02 12:23 . 2009-04-02 12:23 <REP> d-------- c:\windows\system32\fr-fr

2009-04-02 11:58 . 2009-04-02 11:58 <REP> d-------- C:\6761876ae56e766ef0e09bcba4e9d4b7

2009-04-02 11:39 . 2009-04-04 16:26 <REP> d-------- c:\program files\Spamihilator

2009-04-02 11:01 . 2009-04-04 18:43 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Spamihilator

2009-04-02 10:57 . 2009-04-02 10:57 130,813 --a------ C:\F3.tmp

2009-04-02 10:39 . 2009-04-02 10:39 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Microsoft Web Folders

2009-04-02 10:35 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2009-04-02 10:31 . 2001-11-02 15:10 184,320 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr

2009-04-02 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-04-02 09:58 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-04-02 09:57 . 2003-05-23 03:06 73,869 --a------ c:\windows\system32\EBPMON24.DLL

2009-04-02 09:57 . 2003-05-21 04:27 64,000 --a------ c:\windows\system32\ECBTEG.DLL

2009-04-02 09:57 . 2009-04-03 21:58 39,936 --a------ c:\windows\system32\drivers\CDAC11BA.EXE

2009-04-02 09:57 . 2000-06-07 03:01 34,304 --a------ c:\windows\system32\EBPCHP.DLL

2009-04-02 09:57 . 2001-09-04 04:04 182 --a------ c:\windows\system32\EBPPORT4.DAT

2009-04-02 09:56 . 2009-04-02 09:56 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\ABBYY

2009-04-02 09:54 . 2003-04-02 00:00 217,088 --a------ c:\windows\system32\esdtr.dll

2009-04-02 09:54 . 2001-11-15 00:00 47,104 --a------ c:\windows\system32\escimgd.dll

2009-04-02 09:54 . 2002-06-20 00:00 32,256 --a------ c:\windows\system32\escwiad.dll

2009-04-02 09:54 . 2002-06-20 00:00 22,528 --a------ c:\windows\system32\esccmd.dll

2009-04-02 06:54 . 2009-04-04 21:49 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Orbit

2009-04-02 06:50 . 2009-04-02 06:50 172,032 --a------ c:\windows\system32\AniGIF.ocx

2009-04-02 06:35 . 1997-09-28 14:22 92,672 --a------ c:\windows\system32\COMDLG32.OCX

2009-04-02 06:35 . 1997-09-28 14:22 37,376 --a------ c:\windows\system32\VbVfw.dll

2009-04-02 03:09 . 2009-04-02 03:31 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-04-02 03:06 . 2008-08-14 15:44 2,182,400 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,059,776 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-02 03:03 . 2008-10-24 13:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys

2009-04-02 03:01 . 2006-09-06 16:43 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys

2009-04-02 01:07 . 2009-04-02 01:07 8,192 --a------ c:\windows\system32\edb.chk

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-05 20:50 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2009-04-05 20:50 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Symantec

2009-04-02 01:06 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\SampleView

2009-04-02 01:06 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer

2009-04-02 01:06 . 2009-04-04 22:29 <REP> d-------- c:\documents and settings\HP_Propriétaire

2009-04-02 01:06 . 2004-08-05 20:00 221,184 --a------ c:\windows\system32\wmpns.dll

2009-04-02 01:06 . 2009-04-02 01:06 1,832 -rahs---- c:\windows\system32\drivers\103C_HP_CPC_EC616AA-ABF t3128.fr_YC_0Pavi_QCZC531_E53FRheBLU4_47_IAMETHYST-M_SMSI_V1.0_B3.20_T050708_WXH2_L40C_M383_J160_7AMD_8Sempron_91.79_#060127_N10EC8

139_Z11C1048C_G10025954_OLITE-ON DVDRW SOHW-1633S_DPTS0307.MRK

2009-04-02 01:02 . 2005-01-02 03:48 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS

2009-04-02 01:02 . 2005-01-02 04:07 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Symantec

2009-04-02 01:02 . 2005-01-02 03:58 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\SampleView

2009-04-02 01:02 . 2005-01-02 03:47 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Apple Computer

2009-04-02 00:50 . 2009-04-03 12:13 94,208 --a------ c:\windows\DUMP98e4.tmp

2009-04-02 00:50 . 2009-04-02 20:32 94,208 --a------ c:\windows\DUMP832a.tmp

2009-04-01 22:06 . 2009-04-03 18:55 <REP> d-------- C:\Copie mes documents

2009-04-01 18:10 . 2009-04-01 18:10 <REP> d-------- c:\windows\ERUNT

2009-04-01 18:09 . 2009-04-04 22:24 130 --a------ c:\windows\adobe.bat

2009-04-01 18:09 . 2009-04-04 19:53 7 --a------ c:\windows\_id.dat

2009-04-01 18:08 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\WINDOWS

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage réseau

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage d'impression

2009-04-01 18:08 . 2008-10-11 03:30 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Modèles

2009-04-01 18:08 . 2005-01-02 04:16 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Mes documents

2009-04-01 18:08 . 2004-11-25 05:26 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Menu Démarrer

2009-04-01 18:08 . 2008-10-10 19:05 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Favoris

2009-04-01 18:08 . 2005-01-02 03:51 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Bureau

2009-04-01 18:08 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Symantec

2009-04-01 18:08 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\SampleView

2009-04-01 18:08 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Apple Computer

2009-04-01 18:08 . 2009-04-01 21:35 <REP> d-------- c:\documents and settings\Administrateur.CHRIS

2009-04-01 10:06 . 2009-04-01 10:06 0 --a------ C:\F.tmp

2009-04-01 09:52 . 2009-04-01 09:52 <REP> d-------- c:\program files\CleanUp!

2009-04-01 08:13 . 2009-04-01 08:13 0 --a------ C:\C.tmp

2009-04-01 08:10 . 2009-04-01 08:10 0 --a------ C:\B.tmp

2009-03-31 06:03 . 2009-03-31 06:10 <REP> d-------- c:\windows\vf_hip

2009-03-31 06:03 . 2009-03-31 08:52 <REP> d-------- c:\program files\Hide IP Platinum

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Tetris

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Intelore

2009-03-31 04:44 . 2009-03-31 05:07 <REP> d-------- c:\windows\vf_hip(2)

2009-03-31 04:44 . 2009-03-31 05:07 <REP> d-------- c:\program files\Hide IP Platinum(2)

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-05 09:27 1,055,232 ----a-w c:\windows\explorer.exe

2009-04-04 21:16 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-04-04 20:26 182,912 ----a-w c:\windows\system32\drivers\ndis.sys

2009-04-04 14:46 91,744 -c--a-w c:\windows\BPMNT.dll

2009-04-04 14:46 1,213,784 -c--a-w c:\windows\vsapi32.dll

2009-04-04 14:45 69,689 -c--a-w c:\windows\UNZIP.DLL

2009-04-04 14:45 507,904 -c--a-w c:\windows\TMUPDATE.DLL

2009-04-04 10:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-03 20:00 --------- d-----w c:\program files\DAP

2009-04-03 19:58 57,344 ----a-w c:\windows\ALCXMNTR.EXE

2009-04-03 15:50 --------- d-----w c:\program files\Microsoft Money

2009-04-03 06:35 --------- d-----w c:\program files\ABC

2009-04-03 05:10 --------- d-----w c:\program files\Smart Panel

2009-04-03 05:09 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 04:58 --------- d-----w c:\program files\EPSON

2009-04-02 20:32 --------- d-----w c:\program files\AsfTools

2009-04-02 14:34 --------- d-----w c:\program files\BzTarot

2009-04-02 14:28 --------- d-----w c:\program files\Quicktime

2009-04-02 14:26 --------- d-----w c:\program files\ACE Mega CoDecS Pack

2009-04-02 13:48 --------- d-----w c:\program files\ACD Systems

2009-04-02 13:36 --------- d-----w c:\program files\Microsoft Bootvis

2009-04-02 11:57 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-04-02 09:37 --------- d-----w c:\program files\Orbitdownloader

2009-04-02 08:58 --------- d-----w c:\program files\Eliminate Spam!

2009-04-02 08:38 --------- d-----w c:\program files\microsoft frontpage

2009-04-02 04:57 --------- d-----w c:\program files\A.S.C

2009-04-02 04:36 --------- d-----w c:\program files\PeckJoin

2009-04-02 03:56 --------- d-----w c:\program files\CCleaner

2009-04-02 03:53 --------- d-----w c:\program files\Easy Internet signup

2009-04-01 23:08 --------- d-----w c:\program files\Symantec

2009-04-01 23:08 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-01 07:25 71,749 -c--a-w c:\windows\hcextoutput.dll

2009-04-01 07:25 368,709 -c--a-w c:\windows\tsc.exe

2009-04-01 03:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-01 00:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 05:50 --------- d-----w c:\program files\eMule

2009-03-28 10:26 --------- d-----w c:\program files\TomTom HOME 2

2009-03-18 15:38 --------- d-----w c:\program files\Tomtomax Maxi-Box

2009-03-18 13:34 --------- d-----w c:\program files\Yahoo!

2009-02-22 09:26 --------- d-----w c:\program files\WinAVI Video Converter 9.0

2009-02-16 14:17 --------- d-----w c:\program files\Video Strip Poker Full Version - NICOLE

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2007-01-28 18:20 22 --sha-w c:\windows\SMINST\HPCD.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

.

 

------- Sigcheck -------

 

2004-08-05 20:00 33280 f2e9e2bb32afa47558ed88a19c00d32a c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-14 04:34 33280 4d185cc4379906b3131dfeb549a2a27e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe

2008-04-14 04:34 33280 d938f7919cdae924800ff857482dd052 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\svchost.exe

2009-04-05 11:27 33280 aa2b6ae9c0c23e7362fd6366b73c6361 c:\windows\system32\svchost.exe

2004-08-19 16:10 33280 e76f08a97b7a2bda73b45cabf4d0da61 c:\windows\system32\dllcache\svchost.exe

 

2009-04-05 11:27 1055232 279c6db506073019ec5672431e6b034c c:\windows\explorer.exe

2007-06-13 15:10 1056256 6e77d2e39fdf839e2475406b0e854d9f c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 20:00 1055232 678e4eae8ed8741191bac5743157f12f c:\windows\$NtServicePackUninstall$\explorer.exe

2004-08-05 20:00 1055232 3a52c5525902fb158b435f5dcc9764fe c:\windows\$NtUninstallKB938828$\explorer.exe

2008-04-14 04:34 1056768 58f989c78fcfa836ac446b39a9e49d0c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe

2008-04-14 04:34 1056768 2a6361367c665bec3f2b31c423af2cf8 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\explorer.exe

2004-08-19 16:09 1055232 25ab848cad24b4e7ce74167edf1aefc8 c:\windows\system32\dllcache\explorer.exe

 

2004-08-05 20:00 34304 ecf932debc3adb435a516f58ddffec9d c:\windows\$NtServicePackUninstall$\ctfmon.exe

2008-04-14 04:33 34304 8181a7405cfba23178508c8b837e1333 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe

2008-04-14 04:33 34304 330f39a904e20672ffc4a035fb3e78af c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ctfmon.exe

2009-04-03 21:58 15360 14f3132dc8d481eba108ba9e2cf1389e c:\windows\system32\ctfmon.exe

2004-08-05 20:00 34304 9b8145273b153cba00630a03f3ffd31c c:\windows\system32\dllcache\ctfmon.exe

 

2005-06-11 02:17 76800 101d417010dee6004a41675dad35b720 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-05 20:00 76800 68167077066c4e7712b48d0268a46130 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2004-08-05 20:00 76800 67a22c54ac31dc3b94a01db45d77b642 c:\windows\$NtUninstallKB896423$\spoolsv.exe

2008-04-14 04:34 76800 59d0d18b7cd8d3811282751758e94372 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe

2008-04-14 04:34 76800 9beabc5acd60828b61be65231878f7a5 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\spoolsv.exe

2009-04-05 11:27 57856 5a25b5dbe254692021d638ad1b6960e0 c:\windows\system32\spoolsv.exe

2004-08-19 16:10 76800 ab2ca4a6307c714213ea4be8d0da93d3 c:\windows\system32\dllcache\spoolsv.exe

 

2004-08-05 20:00 44032 340283e6986ec63596f2e16d06e21279 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 04:34 45568 26bf6b49401333ff2d061a47ccfb90f5 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

2008-04-14 04:34 45568 4cf572364737db447420c278abdfab49 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\userinit.exe

2009-04-03 21:59 25088 1fa37ceb2e7eb9fc851d14ad1a56a335 c:\windows\system32\userinit.exe

2004-08-05 20:00 44032 7e493f374f6fda57e47bc498a9ba9bf3 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-04-05_20.43.19,59 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-10-20 18:02:28 185,856 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-04-03 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2009-04-03 139264]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.CHRIS\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.NOM-EB85C523610.000\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"msacm.msadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msadp32.acm

"msacm.imaadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\imaadp32.acm

"msacm.msg711"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg711.acm

"msacm.msg723"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg723.acm

"msacm.msgsm610"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msgsm32.acm

"vidc.m261"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh261.drv

"vidc.m263"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.i420"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.mrle"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msrle32.dll

"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.msvc"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.cram"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.mpg4"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp41"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp42"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp43"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4s"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4v"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.wmv3"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\WMV9VCM.dll

"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msaud32.acm

"vidc.vp30"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp31"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp60"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

"vidc.vp61"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8emc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

 

S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-04 108032]

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-04-03 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.sfr.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Download with &DAP - c:\progra~1\DAP\dapextie.htm

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-05 20:57:48

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(536)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WININET.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\windows\system32\HPZipm12.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

.

**************************************************************************

.

Heure de fin: 2009-04-05 21:02:18 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-05 19:02:15

ComboFix2.txt 2009-04-05 18:44:16

ComboFix3.txt 2009-04-05 09:21:23

 

Avant-CF: 45 742 379 008 octets libres

Après-CF: 45,695,553,536 octets libres

 

348 --- E O F --- 2009-04-02 07:30:34

 

 

WFR :

 

WinFileRep - ver : 1.00 - by Loup blanc

 

---------------------------

Microsoft Windows XP

Service Pack 2

Français

---------------------------

 

============ Comparaison des fichiers avant remplacement ============

 

---------

Les fichiers

"c:\WINDOWS\system32\svchost.exe"

et

"C:\FR-files\svchost.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\spoolsv.exe"

et

"C:\FR-files\spoolsv.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\explorer.exe"

et

"C:\FR-files\explorer.exe"

sont différents...

-----------

 

 

============ Comparaison après remplacement ============

 

-----------

Les fichiers

"c:\WINDOWS\system32\svchost.exe"

et

"C:\FR-files\svchost.exe"

sont identiques...

 

Fichier "c:\WINDOWS\system32\svchost.backup" présent...

 

Remplacement réussi

-----------

 

Les fichiers

"c:\WINDOWS\system32\spoolsv.exe"

et

"C:\FR-files\spoolsv.exe"

sont identiques...

 

Fichier "c:\WINDOWS\system32\spoolsv.backup" présent...

 

Remplacement réussi

-----------

 

Les fichiers

"c:\WINDOWS\explorer.exe"

et

"C:\FR-files\explorer.exe"

sont identiques...

 

Fichier "c:\WINDOWS\explorer.backup" présent...

 

Remplacement réussi

-----------

 

Combofix 3 :

 

ComboFix 09-04-04.01 - HP_Propriétaire 2009-04-05 21:14:04.6 - NTFSx86

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\svchost.exe . . . est infecté!!

 

c:\windows\system32\spoolsv.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-05 au 2009-04-05 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-04 21:58 . 2004-08-05 20:00 1,055,232 --a------ c:\windows\explorer.backup

2009-04-04 21:58 . 2004-08-05 20:00 76,800 --a------ c:\windows\system32\spoolsv.backup

2009-04-04 21:57 . 2004-08-05 20:00 33,280 --a------ c:\windows\system32\svchost.backup

2009-04-04 21:54 . 2009-04-05 21:12 <REP> d-------- C:\FR-files

2009-04-04 21:46 . 2009-04-05 21:09 <REP> d-------- C:\WinFileReplace

2009-04-04 19:53 . 2009-04-04 19:53 11,452,389 --a------ c:\windows\services.ex_

2009-04-04 16:47 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\LPT$VPN.943

2009-04-04 16:46 . 2009-04-04 16:46 <REP> d-------- c:\windows\AU_Temp

2009-04-04 16:46 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\VPTNFILE.943

2009-04-04 08:26 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\program files\Avira

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 08:35 . 2009-04-03 14:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\.ABC

2009-04-02 17:20 . 2009-04-05 06:28 <REP> d-------- c:\program files\Sudoku

2009-04-02 16:51 . 2009-04-02 16:51 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Goto.Games

2009-04-02 16:46 . 2009-04-02 16:47 <REP> d-------- c:\program files\Objectif Tarot

2009-04-02 16:46 . 2009-04-02 16:46 150,528 --a------ c:\windows\system32\SpoonUninstall.exe

2009-04-02 16:46 . 2009-04-02 16:46 82,994 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.bmp

2009-04-02 16:46 . 2009-04-02 16:46 1,722 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.dat

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:28 . 2009-04-03 21:59 98,304 --a------ c:\windows\system32\qttask.exe

2009-04-02 16:24 . 2004-02-17 10:11 53,248 --a------ c:\windows\system32\vp6dec_settings.cpl

2009-04-02 16:23 . 2003-08-18 05:10 122,880 --a------ c:\windows\system32\directx.cpl

2009-04-02 16:23 . 2003-03-25 05:49 106,544 --a------ c:\windows\system32\tweakui.cpl

2009-04-02 16:23 . 2003-03-25 05:49 98,304 --a------ c:\windows\system32\startup.cpl

2009-04-02 16:23 . 2003-03-25 05:49 51,238 --a------ c:\windows\system32\tweakui.hlp

2009-04-02 16:18 . 2004-05-25 16:06 417,792 --a------ c:\windows\system32\ac3filter.cpl

2009-04-02 16:10 . 2009-04-02 16:10 242,176 --a------ c:\windows\~INSX362.EX_

2009-04-02 15:52 . 2009-04-02 15:52 <REP> d-------- C:\bases

2009-04-02 15:08 . 2009-04-02 15:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\vlc

2009-04-02 15:02 . 2009-04-02 15:02 124 --a------ c:\windows\system32\7.tmp

2009-04-02 14:53 . 2009-04-03 20:54 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2009-04-02 12:23 . 2009-04-02 12:23 <REP> d-------- c:\windows\system32\fr-fr

2009-04-02 11:58 . 2009-04-02 11:58 <REP> d-------- C:\6761876ae56e766ef0e09bcba4e9d4b7

2009-04-02 11:39 . 2009-04-04 16:26 <REP> d-------- c:\program files\Spamihilator

2009-04-02 11:01 . 2009-04-04 18:43 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Spamihilator

2009-04-02 10:57 . 2009-04-02 10:57 130,813 --a------ C:\F3.tmp

2009-04-02 10:39 . 2009-04-02 10:39 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Microsoft Web Folders

2009-04-02 10:35 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2009-04-02 10:31 . 2001-11-02 15:10 184,320 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr

2009-04-02 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-04-02 09:58 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-04-02 09:57 . 2003-05-23 03:06 73,869 --a------ c:\windows\system32\EBPMON24.DLL

2009-04-02 09:57 . 2003-05-21 04:27 64,000 --a------ c:\windows\system32\ECBTEG.DLL

2009-04-02 09:57 . 2009-04-03 21:58 39,936 --a------ c:\windows\system32\drivers\CDAC11BA.EXE

2009-04-02 09:57 . 2000-06-07 03:01 34,304 --a------ c:\windows\system32\EBPCHP.DLL

2009-04-02 09:57 . 2001-09-04 04:04 182 --a------ c:\windows\system32\EBPPORT4.DAT

2009-04-02 09:56 . 2009-04-02 09:56 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\ABBYY

2009-04-02 09:54 . 2003-04-02 00:00 217,088 --a------ c:\windows\system32\esdtr.dll

2009-04-02 09:54 . 2001-11-15 00:00 47,104 --a------ c:\windows\system32\escimgd.dll

2009-04-02 09:54 . 2002-06-20 00:00 32,256 --a------ c:\windows\system32\escwiad.dll

2009-04-02 09:54 . 2002-06-20 00:00 22,528 --a------ c:\windows\system32\esccmd.dll

2009-04-02 06:54 . 2009-04-05 21:09 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Orbit

2009-04-02 06:50 . 2009-04-02 06:50 172,032 --a------ c:\windows\system32\AniGIF.ocx

2009-04-02 06:35 . 1997-09-28 14:22 92,672 --a------ c:\windows\system32\COMDLG32.OCX

2009-04-02 06:35 . 1997-09-28 14:22 37,376 --a------ c:\windows\system32\VbVfw.dll

2009-04-02 03:09 . 2009-04-02 03:31 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-04-02 03:06 . 2008-08-14 15:44 2,182,400 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,059,776 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-02 03:03 . 2008-10-24 13:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys

2009-04-02 03:01 . 2006-09-06 16:43 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys

2009-04-02 01:07 . 2009-04-02 01:07 8,192 --a------ c:\windows\system32\edb.chk

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-05 11:05 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-04 23:37 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-05 21:12 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2009-04-05 21:12 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Symantec

2009-04-02 01:06 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\SampleView

2009-04-02 01:06 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer

2009-04-02 01:06 . 2009-04-04 22:29 <REP> d-------- c:\documents and settings\HP_Propriétaire

2009-04-02 01:06 . 2004-08-05 20:00 221,184 --a------ c:\windows\system32\wmpns.dll

2009-04-02 01:06 . 2009-04-02 01:06 1,832 -rahs---- c:\windows\system32\drivers\103C_HP_CPC_EC616AA-ABF t3128.fr_YC_0Pavi_QCZC531_E53FRheBLU4_47_IAMETHYST-M_SMSI_V1.0_B3.20_T050708_WXH2_L40C_M383_J160_7AMD_8Sempron_91.79_#060127_N10EC8

139_Z11C1048C_G10025954_OLITE-ON DVDRW SOHW-1633S_DPTS0307.MRK

2009-04-02 01:02 . 2005-01-02 03:48 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS

2009-04-02 01:02 . 2005-01-02 04:07 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Symantec

2009-04-02 01:02 . 2005-01-02 03:58 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\SampleView

2009-04-02 01:02 . 2005-01-02 03:47 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Apple Computer

2009-04-02 00:50 . 2009-04-03 12:13 94,208 --a------ c:\windows\DUMP98e4.tmp

2009-04-02 00:50 . 2009-04-02 20:32 94,208 --a------ c:\windows\DUMP832a.tmp

2009-04-01 22:06 . 2009-04-03 18:55 <REP> d-------- C:\Copie mes documents

2009-04-01 18:10 . 2009-04-01 18:10 <REP> d-------- c:\windows\ERUNT

2009-04-01 18:09 . 2009-04-04 22:24 130 --a------ c:\windows\adobe.bat

2009-04-01 18:09 . 2009-04-04 19:53 7 --a------ c:\windows\_id.dat

2009-04-01 18:08 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\WINDOWS

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage réseau

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage d'impression

2009-04-01 18:08 . 2008-10-11 03:30 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Modèles

2009-04-01 18:08 . 2005-01-02 04:16 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Mes documents

2009-04-01 18:08 . 2004-11-25 05:26 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Menu Démarrer

2009-04-01 18:08 . 2008-10-10 19:05 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Favoris

2009-04-01 18:08 . 2005-01-02 03:51 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Bureau

2009-04-01 18:08 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Symantec

2009-04-01 18:08 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\SampleView

2009-04-01 18:08 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Apple Computer

2009-04-01 18:08 . 2009-04-01 21:35 <REP> d-------- c:\documents and settings\Administrateur.CHRIS

2009-04-01 10:06 . 2009-04-01 10:06 0 --a------ C:\F.tmp

2009-04-01 09:52 . 2009-04-01 09:52 <REP> d-------- c:\program files\CleanUp!

2009-04-01 08:13 . 2009-04-01 08:13 0 --a------ C:\C.tmp

2009-04-01 08:10 . 2009-04-01 08:10 0 --a------ C:\B.tmp

2009-03-31 06:03 . 2009-03-31 06:10 <REP> d-------- c:\windows\vf_hip

2009-03-31 06:03 . 2009-03-31 08:52 <REP> d-------- c:\program files\Hide IP Platinum

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Tetris

2009-03-31 05:07 . 2009-03-31 05:07 <REP> d-------- c:\program files\Intelore

2009-03-31 04:44 . 2009-03-31 05:07 <REP> d-------- c:\windows\vf_hip(2)

2009-03-31 04:44 . 2009-03-31 05:07 <REP> d-------- c:\program files\Hide IP Platinum(2)

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-04 21:16 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-04-04 20:26 182,912 ----a-w c:\windows\system32\drivers\ndis.sys

2009-04-04 14:46 91,744 -c--a-w c:\windows\BPMNT.dll

2009-04-04 14:46 1,213,784 -c--a-w c:\windows\vsapi32.dll

2009-04-04 14:45 69,689 -c--a-w c:\windows\UNZIP.DLL

2009-04-04 14:45 507,904 -c--a-w c:\windows\TMUPDATE.DLL

2009-04-04 10:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-03 20:00 --------- d-----w c:\program files\DAP

2009-04-03 19:58 57,344 ----a-w c:\windows\ALCXMNTR.EXE

2009-04-03 15:50 --------- d-----w c:\program files\Microsoft Money

2009-04-03 06:35 --------- d-----w c:\program files\ABC

2009-04-03 05:10 --------- d-----w c:\program files\Smart Panel

2009-04-03 05:09 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 04:58 --------- d-----w c:\program files\EPSON

2009-04-02 20:32 --------- d-----w c:\program files\AsfTools

2009-04-02 14:34 --------- d-----w c:\program files\BzTarot

2009-04-02 14:28 --------- d-----w c:\program files\Quicktime

2009-04-02 14:26 --------- d-----w c:\program files\ACE Mega CoDecS Pack

2009-04-02 13:48 --------- d-----w c:\program files\ACD Systems

2009-04-02 13:36 --------- d-----w c:\program files\Microsoft Bootvis

2009-04-02 11:57 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-04-02 09:37 --------- d-----w c:\program files\Orbitdownloader

2009-04-02 08:58 --------- d-----w c:\program files\Eliminate Spam!

2009-04-02 08:38 --------- d-----w c:\program files\microsoft frontpage

2009-04-02 04:57 --------- d-----w c:\program files\A.S.C

2009-04-02 04:36 --------- d-----w c:\program files\PeckJoin

2009-04-02 03:56 --------- d-----w c:\program files\CCleaner

2009-04-02 03:53 --------- d-----w c:\program files\Easy Internet signup

2009-04-01 23:08 --------- d-----w c:\program files\Symantec

2009-04-01 23:08 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-01 07:25 71,749 -c--a-w c:\windows\hcextoutput.dll

2009-04-01 07:25 368,709 -c--a-w c:\windows\tsc.exe

2009-04-01 03:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-01 00:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 05:50 --------- d-----w c:\program files\eMule

2009-03-28 10:26 --------- d-----w c:\program files\TomTom HOME 2

2009-03-18 15:38 --------- d-----w c:\program files\Tomtomax Maxi-Box

2009-03-18 13:34 --------- d-----w c:\program files\Yahoo!

2009-02-22 09:26 --------- d-----w c:\program files\WinAVI Video Converter 9.0

2009-02-16 14:17 --------- d-----w c:\program files\Video Strip Poker Full Version - NICOLE

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2007-01-28 18:20 22 --sha-w c:\windows\SMINST\HPCD.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

.

 

------- Sigcheck -------

 

2004-08-05 20:00 33280 f2e9e2bb32afa47558ed88a19c00d32a c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-14 04:34 33280 4d185cc4379906b3131dfeb549a2a27e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe

2008-04-14 04:34 33280 d938f7919cdae924800ff857482dd052 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\svchost.exe

2004-08-19 16:10 33280 e76f08a97b7a2bda73b45cabf4d0da61 c:\windows\system32\svchost.exe

2004-08-19 16:10 33280 48e130102a691a742cf082e34a39ce8b c:\windows\system32\dllcache\svchost.exe

 

2004-08-19 16:09 1055232 25ab848cad24b4e7ce74167edf1aefc8 c:\windows\explorer.exe

2007-06-13 15:10 1056256 6e77d2e39fdf839e2475406b0e854d9f c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 20:00 1055232 678e4eae8ed8741191bac5743157f12f c:\windows\$NtServicePackUninstall$\explorer.exe

2004-08-05 20:00 1055232 3a52c5525902fb158b435f5dcc9764fe c:\windows\$NtUninstallKB938828$\explorer.exe

2008-04-14 04:34 1056768 58f989c78fcfa836ac446b39a9e49d0c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe

2008-04-14 04:34 1056768 2a6361367c665bec3f2b31c423af2cf8 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\explorer.exe

2004-08-19 16:09 1055232 dde1fb7c583310811b326a8563b8eed8 c:\windows\system32\dllcache\explorer.exe

 

2004-08-05 20:00 34304 ecf932debc3adb435a516f58ddffec9d c:\windows\$NtServicePackUninstall$\ctfmon.exe

2008-04-14 04:33 34304 8181a7405cfba23178508c8b837e1333 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe

2008-04-14 04:33 34304 330f39a904e20672ffc4a035fb3e78af c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ctfmon.exe

2009-04-03 21:58 15360 14f3132dc8d481eba108ba9e2cf1389e c:\windows\system32\ctfmon.exe

2004-08-05 20:00 34304 9b8145273b153cba00630a03f3ffd31c c:\windows\system32\dllcache\ctfmon.exe

 

2005-06-11 02:17 76800 101d417010dee6004a41675dad35b720 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-05 20:00 76800 68167077066c4e7712b48d0268a46130 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2004-08-05 20:00 76800 67a22c54ac31dc3b94a01db45d77b642 c:\windows\$NtUninstallKB896423$\spoolsv.exe

2008-04-14 04:34 76800 59d0d18b7cd8d3811282751758e94372 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe

2008-04-14 04:34 76800 9beabc5acd60828b61be65231878f7a5 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\spoolsv.exe

2004-08-19 16:10 76800 ab2ca4a6307c714213ea4be8d0da93d3 c:\windows\system32\spoolsv.exe

2004-08-19 16:10 76800 ac2a0001265ad3e7cf82e0225bd21cd5 c:\windows\system32\dllcache\spoolsv.exe

 

2004-08-05 20:00 44032 340283e6986ec63596f2e16d06e21279 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 04:34 45568 26bf6b49401333ff2d061a47ccfb90f5 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

2008-04-14 04:34 45568 4cf572364737db447420c278abdfab49 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\userinit.exe

2009-04-03 21:59 25088 1fa37ceb2e7eb9fc851d14ad1a56a335 c:\windows\system32\userinit.exe

2004-08-05 20:00 44032 7e493f374f6fda57e47bc498a9ba9bf3 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-04-05_20.43.19,59 )))))))))))))))))))))))))))))))))))))))))

.

+ 2005-10-20 18:02:28 185,856 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-04-03 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2009-04-03 139264]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.CHRIS\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.NOM-EB85C523610.000\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"msacm.msadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msadp32.acm

"msacm.imaadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\imaadp32.acm

"msacm.msg711"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg711.acm

"msacm.msg723"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg723.acm

"msacm.msgsm610"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msgsm32.acm

"vidc.m261"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh261.drv

"vidc.m263"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.i420"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.mrle"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msrle32.dll

"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.msvc"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.cram"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.mpg4"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp41"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp42"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp43"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4s"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4v"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.wmv3"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\WMV9VCM.dll

"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msaud32.acm

"vidc.vp30"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp31"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp60"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

"vidc.vp61"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8emc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-05 108032]

 

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - AFD

*Deregistered* - AntiVirSchedulerService

*Deregistered* - AntiVirService

*Deregistered* - Arp1394

*Deregistered* - Ati HotKey Poller

*Deregistered* - audstub

*Deregistered* - avgio

*Deregistered* - avgntflt

*Deregistered* - avipbb

*Deregistered* - Beep

*Deregistered* - Browser

*Deregistered* - C-DillaCdaC11BA

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - Fastfat

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - Gpc

*Deregistered* - IpNat

*Deregistered* - IPSec

*Deregistered* - KSecDD

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - mnmdd

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Nla

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - PartMgr

*Deregistered* - Pml Driver HPZ12

*Deregistered* - PptpMiniport

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - RpcSs

*Deregistered* - seclogon

*Deregistered* - sr

*Deregistered* - Srv

*Deregistered* - ssmdrv

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - TermService

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - W32Time

*Deregistered* - Wanarp

*Deregistered* - WebClient

*Deregistered* - wuauserv

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-04-03 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.sfr.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Download with &DAP - c:\progra~1\DAP\dapextie.htm

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-05 21:19:56

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(536)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WININET.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\windows\system32\HPZipm12.exe

.

**************************************************************************

.

Heure de fin: 2009-04-05 21:25:01 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-05 19:24:57

ComboFix2.txt 2009-04-05 19:02:21

ComboFix3.txt 2009-04-05 18:44:16

ComboFix4.txt 2009-04-05 09:21:23

 

Avant-CF: 45 700 272 128 octets libres

Après-CF: 45,684,228,096 octets libres

 

410 --- E O F --- 2009-04-02 07:30:34

 

 

J'ai l'impression que ça ne va pas être facile de remplacer les fichiers infectés.

 

Merci et à bientôt

[catch1]

Bonjour,

Ai pris la liberté de repasser DrWeb en attendant :

Voici le rapport:

nmindexstoresvr.exe c:\program files\fichiers communs\ahead\lib Win32.Virut.56 Désinfecté.

wmiprvse.exe c:\windows\system32\wbem Win32.Virut.56 Désinfecté.

 

A bientôt

[pear]

Bonjour,

 

Svp, ne prenez aucune initiative!

 

Le cd Xp est nécessaire.

Tout d'abord:

Copiez collez dans le bloc notes.

Enregistrez sous Fich1.bat

Installez le à la racine de votre partition système(Généralement C:\)

expand %cdrom%\i386\explorer.ex_ %systemdrive%\

ren %systemdrive%\explorer.ex_ explorer.exe

Taskkill /im explorer.exe /f /t

Fich2.bat sera à modifier en fonction des fichiers patchés repérés par DrWebCureIt

 

Copiez collez dans le bloc notes.

Enregistrez sous Fich2.bat

installez le à la racine de votre partition système(Généralement C:\)

ren %systemroot%\explorer.exe explorer.vir

copy %systemdrive%\explorer.exe %systemroot%\explorer.exe

Taskkill /im userinit.exe /f /t

ren %systemroot%\system32\userinit.exe userinit.vir

expand %cdrom%\i386\userinit.ex_ %systemroot%\system32\

ren %systemroot%\system32\userinit.ex_ userinit.exe

taskkill /im spoolsv.exe /f /t

ren %systemroot%\system32\spoolsv.exe spoolsv.vir

expand %cdrom%\i386\spoolsv.ex_ %systemroot%\system32\

ren %systemroot%\system32\spoolsv.ex_ spoolsv.exe

taskkill /im svchost.exe /f /t

ren %systemroot%\system32\svchost.exe svchost.vir

expand %cdrom%\i386\svchost.ex_ %systemroot%\system32\

ren %systemroot%\system32\svchost.ex_ svchost.exe

 

Dans le cas où la console n'est pas installée, munissez-vous de votre CD d'installation XP

Assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS

- Insérez le CD dans le lecteur de CD, puis redémarrez l'ordinateur

- Lorsque l'écran de bienvenue du programme d'installation s'affiche, Appuyez sur la touche R pour démarrer la console de récupération.

Si on vous le demande, parce que vous n'avez pas installé la commande Set:

Tapez votre mot de passe Administrateur si vous en avez un, sinon, ne tapez rien et cliquez sur ENTRÉE.

 

Utilisation de la console

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

Vous arrivez là:

C:WINDOWS>

Saisissez tout d'abord dans la console la commande Set.

Ces commandes vont apparaître :

* AllowWildCards = FALSE

* AllowAllPaths = FALSE

* AllowRemovableMedia = FALSE

* NoCopyPrompt = FALSE

* Vous ne pouvez donc pas utiliser les extensions de commande (par exemple Del pour Delete) : "Le paramètre n'est pas valide. Essayez le commutateur /? Pour obtenir de l'aide."

* Vous ne pouvez pas parcourir les arborescences de votre disque dur : "Accès refusé".

* Vous ne pouvez pas accéder à des lecteurs amovibles comme un lecteur de disquettes.

* Vous ne pouvez pas copier des fichiers ou des dossiers.

Saisissez alors, en validant chaque commande par la touche Entrée :

* set allowwildcards = true

* Set allowallpaths = true

* Set allowremovablemedia = true

* Set NoCopyPrompt = true

 

Vous êtes pret à utiliser la console.

Tapez batch C:\fich1.bat

Ensuite par Ctrl + Alt + Suppr on ouvre le gestionnaire des tâches et on relance un nouveau processus Explorer.exe depuis la racine du disque système :

%systemdrive%\explorer.exe

 

ensuite:

Tapez batch C:\fich2.bat

 

[/color]

 

Les fichiers patchés sont renommés puis remplacés par leur copie

Un message de redémarrage du système apparaitra à cause des erreurs générées par l'arrêt des processus Svchost, on peut le laisser faire ou redémarrer soit même.

 

Après redémarrage, nouvelle passe de CureIt

[catch1]

Bonjour,

Ai créé les fichiers .bat dans C.

Je n'ai pas de CD d'installation Windows. Le programme se relance à partir d'une partition cachée sur le disque dur, je ne sais pas où. J'ai seulement un DVD de sauvegarde fait par moi-même à la première mise en route du PC. Je ne sais pas si ça suffit. en général, quand je veux démarrer en mode sans échec, on me propose de démarrer à partir de la console.

Je ne sais pas comment vérifier les options boot dans le Bios.

Que veut dire en fin de message. Est-ce à taper quelque part?

Je suis un très mauvais utilisateur de MS-DOS. Je n'y connais rien.

Pas très confiant dans mes capacités, j'attends les précisions avant de faire quoi que ce soit. Et je n'ai pas la possibilité d'imprimer vos consignes. Aie!

[pear]

Que veut dire en fin de message.

C'est une erreur de frappe.

 

 

on me propose de démarrer à partir de la console.

 

Elle est donc installée sur votre machine.Vous n'avez pas à entrer dans le bios.

Démarrez sur la console.

 

Je n'ai pas de CD d'installation Windows

 

C'est dommage!

 

 

on va essayer votre dvd.

Insèrez le.

 

Et suivez la procédure à partir de "Utilisation de la console"

comme ceci:

Vous arrivez là:

C:WINDOWS>

Saisissez tout d'abord dans la console la commande Set.

Saisissez alors, en validant chaque commande par la touche Entrée :

* set allowwildcards = true

* Set allowallpaths = true

* Set allowremovablemedia = true

* Set NoCopyPrompt = true

et la suite...

 

Si votre dvd ne fonctionne pas dans le cadre de cette procédure,il reste 2 solutions:

1) vous procurer dans votre entourage un cd correspondant à votre installation.

2) formatage et réinstallation à partir de votre dvd. et réinstallation de vos données précédemment sauvegardées.

[catch1]

Problème : tout va bien au départ, mais quand j'arrive à

Taper Batch c:\Fich1.bat,

Il me répond commande inconnue. Si je fais help : BATCH figure dans la liste des commandes. que dois-je faire?.

La manoeuvre doit-elle se faire en mode normal ou sans échec?