Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

SOS Infection (Résolu)

catch1

Par catch1
dans Analyses et éradication malwares

 Partager

Messages recommandés

catch1 Member

catch1

Posté(e)
  • Auteur
Posté(e)

Ai tout fait dans l'ordre.

Au début de l'utilisation de DrWeb le PC a redémarré. J'ai dû le relancer ainsi que l'application.

 

Voici le rapport DrWeb :

3605485352.exe c:\documents and settings\hp_propriétaire\local settings\temp Win32.Virut.56 Irréparable.Quarantaine.

svchost.exe c:\windows\system32\3361 Probablement BACKDOOR.Trojan Quarantaine.

 

et voici celui de ComboFix :

 

ComboFix 09-04-04.01 - HP_Propriétaire 2009-04-07 16:35:00.9 - NTFSx86 NETWORK

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.382.234 [GMT 2:00]

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated)

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Install.txt

c:\windows\system32\5.tmp

c:\windows\system32\6to4v32.dll

c:\windows\system32\9.tmp

c:\windows\system32\afisicx.exe

c:\windows\system32\at1394.sys

c:\windows\system32\comsa32.sys

c:\windows\system32\drivers\str.sys

c:\windows\system32\ds43g4nfjkn93.dll

c:\windows\system32\Iasv32.dll

c:\windows\system32\Install.txt

c:\windows\system32\sopidkc.exe

c:\windows\system32\tdctxte.exe

c:\windows\system32\tpszxyd.sys

c:\windows\system32\w.exe

c:\windows\temp\2693290560.exe

c:\windows\temp\3815590690.exe

c:\windows\temp\3815903190.exe

c:\windows\temp\3830794206.exe

 

c:\windows\system32\svchost.exe . . . est infecté!!

 

c:\windows\system32\spoolsv.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_AFISICX

-------\Legacy_AT1394

-------\Legacy_DHCPSRV

-------\Legacy_IAS

-------\Legacy_PROTECT

-------\Legacy_RESTORE

-------\Legacy_SOPIDKC

-------\Legacy_SYNSEND

-------\Legacy_TDCTXTE

-------\Service_afisicx

-------\Service_at1394

-------\Service_Ias

-------\Service_restore

-------\Service_sopidkc

-------\Service_synsend

-------\Service_tdctxte

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-07 14:03 . 2009-04-07 14:03 80 --a------ c:\windows\system32\11.tmp

2009-04-07 11:18 . 2009-04-07 11:19 <REP> d-------- C:\gamer

2009-04-07 11:16 . 2009-04-07 11:16 278,161 --a------ C:\gamer.zip

2009-04-07 10:27 . 2009-04-07 10:28 64,512 --a------ c:\windows\system32\12.tmp

2009-04-07 10:27 . 2009-04-07 10:27 84 --a------ c:\windows\system32\D.tmp

2009-04-07 10:24 . 2009-04-07 10:25 64,512 --a------ c:\windows\system32\F.tmp

2009-04-07 10:24 . 2009-04-07 10:24 84 --a------ c:\windows\system32\6.tmp

2009-04-07 07:00 . 2009-04-07 07:00 0 --a------ c:\windows\system32\C.tmp

2009-04-07 06:58 . 2009-04-07 06:58 128 --a------ c:\windows\system32\4.tmp

2009-04-06 18:44 . 2009-04-06 18:44 <REP> d-------- C:\gmer

2009-04-06 18:42 . 2009-04-06 18:42 278,161 --a------ C:\gmer.zip

2009-04-06 18:42 . 2009-04-06 18:42 0 --a------ c:\windows\system32\13.tmp

2009-04-06 18:41 . 2009-04-06 18:42 64,512 --a------ c:\windows\system32\10.tmp

2009-04-06 18:41 . 2009-04-06 18:41 128 --a------ c:\windows\system32\E.tmp

2009-04-06 18:04 . 2009-04-06 18:04 0 --a------ c:\windows\system32\B.tmp

2009-04-06 18:03 . 2009-04-06 18:04 31,454 --a------ c:\windows\system32\A.tmp

2009-04-06 18:03 . 2009-04-06 18:03 128 --a------ c:\windows\system32\8.tmp

2009-04-06 17:13 . 2009-04-07 16:04 94,208 --a------ c:\windows\DUMP66f7.tmp

2009-04-06 17:13 . 2009-04-07 10:22 94,208 --a------ c:\windows\DUMP4352.tmp

2009-04-06 17:13 . 2009-04-06 20:02 90,112 --a------ c:\windows\DUMP32e7.tmp

2009-04-06 16:12 . 2009-04-06 16:13 64,512 --a------ c:\windows\system32\3.tmp

2009-04-06 16:12 . 2009-04-06 16:12 128 --a------ c:\windows\system32\2.tmp

2009-04-06 12:28 . 2009-04-07 16:28 <REP> d-------- c:\windows\system32\3361

2009-04-06 12:28 . 2009-04-07 16:15 <REP> d-------- c:\windows\dhcp

2009-04-06 12:28 . 2009-04-07 06:55 <REP> dr-hs---- c:\program files\ThunMail

2009-04-06 12:28 . 2009-04-06 12:28 108,336 --a------ c:\windows\system32\MSWINSCK.OCX

2009-04-06 12:28 . 2009-04-05 22:51 21,704 --a------ c:\windows\system32\vv.exe

2009-04-06 10:47 . 2009-04-06 10:47 679 --a------ C:\Fich2.bat

2009-04-06 10:46 . 2009-04-06 10:46 127 --a------ C:\Fich1.bat

2009-04-04 21:58 . 2004-08-05 20:00 1,055,232 --a------ c:\windows\explorer.backup

2009-04-04 21:58 . 2004-08-05 20:00 76,800 --a------ c:\windows\system32\spoolsv.backup

2009-04-04 21:57 . 2004-08-05 20:00 33,280 --a------ c:\windows\system32\svchost.backup

2009-04-04 21:54 . 2009-04-05 21:12 <REP> d-------- C:\FR-files

2009-04-04 21:46 . 2009-04-05 21:09 <REP> d-------- C:\WinFileReplace

2009-04-04 19:53 . 2009-04-04 19:53 11,452,389 --a------ c:\windows\services.ex_

2009-04-04 16:47 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\LPT$VPN.943

2009-04-04 16:46 . 2009-04-04 16:46 <REP> d-------- c:\windows\AU_Temp

2009-04-04 16:46 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\VPTNFILE.943

2009-04-04 08:26 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\program files\Avira

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 08:35 . 2009-04-03 14:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\.ABC

2009-04-02 17:20 . 2009-04-05 06:28 <REP> d-------- c:\program files\Sudoku

2009-04-02 16:51 . 2009-04-02 16:51 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Goto.Games

2009-04-02 16:46 . 2009-04-02 16:47 <REP> d-------- c:\program files\Objectif Tarot

2009-04-02 16:46 . 2009-04-02 16:46 150,528 --a------ c:\windows\system32\SpoonUninstall.exe

2009-04-02 16:46 . 2009-04-02 16:46 82,994 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.bmp

2009-04-02 16:46 . 2009-04-02 16:46 1,722 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.dat

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:28 . 2009-04-03 21:59 98,304 --a------ c:\windows\system32\qttask.exe

2009-04-02 16:24 . 2004-02-17 10:11 53,248 --a------ c:\windows\system32\vp6dec_settings.cpl

2009-04-02 16:23 . 2003-08-18 05:10 122,880 --a------ c:\windows\system32\directx.cpl

2009-04-02 16:23 . 2003-03-25 05:49 106,544 --a------ c:\windows\system32\tweakui.cpl

2009-04-02 16:23 . 2003-03-25 05:49 98,304 --a------ c:\windows\system32\startup.cpl

2009-04-02 16:23 . 2003-03-25 05:49 51,238 --a------ c:\windows\system32\tweakui.hlp

2009-04-02 16:18 . 2004-05-25 16:06 417,792 --a------ c:\windows\system32\ac3filter.cpl

2009-04-02 16:10 . 2009-04-02 16:10 242,176 --a------ c:\windows\~INSX362.EX_

2009-04-02 15:52 . 2009-04-02 15:52 <REP> d-------- C:\bases

2009-04-02 15:08 . 2009-04-02 15:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\vlc

2009-04-02 15:02 . 2009-04-02 15:02 124 --a------ c:\windows\system32\7.tmp

2009-04-02 14:53 . 2009-04-03 20:54 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2009-04-02 12:23 . 2009-04-02 12:23 <REP> d-------- c:\windows\system32\fr-fr

2009-04-02 11:58 . 2009-04-02 11:58 <REP> d-------- C:\6761876ae56e766ef0e09bcba4e9d4b7

2009-04-02 11:39 . 2009-04-04 16:26 <REP> d-------- c:\program files\Spamihilator

2009-04-02 11:01 . 2009-04-04 18:43 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Spamihilator

2009-04-02 10:57 . 2009-04-02 10:57 130,813 --a------ C:\F3.tmp

2009-04-02 10:39 . 2009-04-02 10:39 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Microsoft Web Folders

2009-04-02 10:35 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2009-04-02 10:31 . 2001-11-02 15:10 184,320 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr

2009-04-02 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-04-02 09:58 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-04-02 09:57 . 2003-05-23 03:06 73,869 --a------ c:\windows\system32\EBPMON24.DLL

2009-04-02 09:57 . 2003-05-21 04:27 64,000 --a------ c:\windows\system32\ECBTEG.DLL

2009-04-02 09:57 . 2009-04-03 21:58 39,936 --a------ c:\windows\system32\drivers\CDAC11BA.EXE

2009-04-02 09:57 . 2000-06-07 03:01 34,304 --a------ c:\windows\system32\EBPCHP.DLL

2009-04-02 09:57 . 2001-09-04 04:04 182 --a------ c:\windows\system32\EBPPORT4.DAT

2009-04-02 09:56 . 2009-04-02 09:56 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\ABBYY

2009-04-02 09:54 . 2003-04-02 00:00 217,088 --a------ c:\windows\system32\esdtr.dll

2009-04-02 09:54 . 2001-11-15 00:00 47,104 --a------ c:\windows\system32\escimgd.dll

2009-04-02 09:54 . 2002-06-20 00:00 32,256 --a------ c:\windows\system32\escwiad.dll

2009-04-02 09:54 . 2002-06-20 00:00 22,528 --a------ c:\windows\system32\esccmd.dll

2009-04-02 06:54 . 2009-04-05 21:09 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Orbit

2009-04-02 06:50 . 2009-04-02 06:50 172,032 --a------ c:\windows\system32\AniGIF.ocx

2009-04-02 06:35 . 1997-09-28 14:22 92,672 --a------ c:\windows\system32\COMDLG32.OCX

2009-04-02 06:35 . 1997-09-28 14:22 37,376 --a------ c:\windows\system32\VbVfw.dll

2009-04-02 03:09 . 2009-04-02 03:31 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-04-02 03:06 . 2008-08-14 15:44 2,182,400 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,059,776 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-02 03:03 . 2008-10-24 13:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys

2009-04-02 03:01 . 2006-09-06 16:43 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys

2009-04-02 01:07 . 2009-04-02 01:07 8,192 --a------ c:\windows\system32\edb.chk

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-07 16:30 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-07 16:30 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-07 06:54 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-07 06:54 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-07 16:30 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2009-04-07 16:30 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Symantec

2009-04-02 01:06 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\SampleView

2009-04-02 01:06 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer

2009-04-02 01:06 . 2009-04-07 16:15 <REP> d-------- c:\documents and settings\HP_Propriétaire

2009-04-02 01:06 . 2004-08-05 20:00 221,184 --a------ c:\windows\system32\wmpns.dll

2009-04-02 01:06 . 2009-04-02 01:06 1,832 -rahs---- c:\windows\system32\drivers\103C_HP_CPC_EC616AA-ABF t3128.fr_YC_0Pavi_QCZC531_E53FRheBLU4_47_IAMETHYST-M_SMSI_V1.0_B3.20_T050708_WXH2_L40C_M383_J160_7AMD_8Sempron_91.79_#060127_N10EC8

139_Z11C1048C_G10025954_OLITE-ON DVDRW SOHW-1633S_DPTS0307.MRK

2009-04-02 01:02 . 2005-01-02 03:48 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS

2009-04-02 01:02 . 2005-01-02 04:07 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Symantec

2009-04-02 01:02 . 2005-01-02 03:58 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\SampleView

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-07 14:15 1,055,232 ----a-w c:\windows\explorer.exe

2009-04-06 14:13 213,376 ----a-w c:\windows\system32\drivers\ndis.sys

2009-04-04 21:16 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-04-04 14:46 91,744 -c--a-w c:\windows\BPMNT.dll

2009-04-04 14:46 1,213,784 -c--a-w c:\windows\vsapi32.dll

2009-04-04 14:45 69,689 -c--a-w c:\windows\UNZIP.DLL

2009-04-04 14:45 507,904 -c--a-w c:\windows\TMUPDATE.DLL

2009-04-04 10:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-03 20:00 --------- d-----w c:\program files\DAP

2009-04-03 19:58 57,344 ----a-w c:\windows\ALCXMNTR.EXE

2009-04-03 15:50 --------- d-----w c:\program files\Microsoft Money

2009-04-03 06:35 --------- d-----w c:\program files\ABC

2009-04-03 05:10 --------- d-----w c:\program files\Smart Panel

2009-04-03 05:09 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 04:58 --------- d-----w c:\program files\EPSON

2009-04-02 20:32 --------- d-----w c:\program files\AsfTools

2009-04-02 14:34 --------- d-----w c:\program files\BzTarot

2009-04-02 14:28 --------- d-----w c:\program files\Quicktime

2009-04-02 14:26 --------- d-----w c:\program files\ACE Mega CoDecS Pack

2009-04-02 13:48 --------- d-----w c:\program files\ACD Systems

2009-04-02 13:36 --------- d-----w c:\program files\Microsoft Bootvis

2009-04-02 11:57 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-04-02 09:37 --------- d-----w c:\program files\Orbitdownloader

2009-04-02 08:58 --------- d-----w c:\program files\Eliminate Spam!

2009-04-02 08:38 --------- d-----w c:\program files\microsoft frontpage

2009-04-02 04:57 --------- d-----w c:\program files\A.S.C

2009-04-02 04:36 --------- d-----w c:\program files\PeckJoin

2009-04-02 03:56 --------- d-----w c:\program files\CCleaner

2009-04-02 03:53 --------- d-----w c:\program files\Easy Internet signup

2009-04-01 23:08 --------- d-----w c:\program files\Symantec

2009-04-01 23:08 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-01 07:25 71,749 -c--a-w c:\windows\hcextoutput.dll

2009-04-01 07:25 368,709 -c--a-w c:\windows\tsc.exe

2009-04-01 03:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-01 00:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 05:50 --------- d-----w c:\program files\eMule

2009-03-28 10:26 --------- d-----w c:\program files\TomTom HOME 2

2009-03-18 15:38 --------- d-----w c:\program files\Tomtomax Maxi-Box

2009-03-18 13:34 --------- d-----w c:\program files\Yahoo!

2009-02-22 09:26 --------- d-----w c:\program files\WinAVI Video Converter 9.0

2009-02-16 14:17 --------- d-----w c:\program files\Video Strip Poker Full Version - NICOLE

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2007-01-28 18:20 22 --sha-w c:\windows\SMINST\HPCD.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

.

 

------- Sigcheck -------

 

2004-08-05 20:00 33280 f2e9e2bb32afa47558ed88a19c00d32a c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-14 04:34 33280 4d185cc4379906b3131dfeb549a2a27e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe

2008-04-14 04:34 33280 d938f7919cdae924800ff857482dd052 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\svchost.exe

2009-04-07 16:16 33280 e073bdd9f0d227e937d359f6d318ab14 c:\windows\system32\svchost.exe

2004-08-19 16:10 33280 48e130102a691a742cf082e34a39ce8b c:\windows\system32\dllcache\svchost.exe

 

2004-08-05 20:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys

2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ndis.sys

2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ndis.sys

2009-04-06 16:13 213376 ff85ebd2ad3679254cf251136c62d764 c:\windows\system32\dllcache\ndis.sys

2009-04-06 16:13 213376 ff85ebd2ad3679254cf251136c62d764 c:\windows\system32\drivers\ndis.sys

 

2009-04-07 16:15 1055232 e1837536d4d0c12d328ec68b4b238750 c:\windows\explorer.exe

2007-06-13 15:10 1056256 6e77d2e39fdf839e2475406b0e854d9f c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 20:00 1055232 678e4eae8ed8741191bac5743157f12f c:\windows\$NtServicePackUninstall$\explorer.exe

2004-08-05 20:00 1055232 3a52c5525902fb158b435f5dcc9764fe c:\windows\$NtUninstallKB938828$\explorer.exe

2008-04-14 04:34 1056768 58f989c78fcfa836ac446b39a9e49d0c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe

2008-04-14 04:34 1056768 2a6361367c665bec3f2b31c423af2cf8 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\explorer.exe

2004-08-19 16:09 1055232 dde1fb7c583310811b326a8563b8eed8 c:\windows\system32\dllcache\explorer.exe

 

2004-08-05 20:00 34304 ecf932debc3adb435a516f58ddffec9d c:\windows\$NtServicePackUninstall$\ctfmon.exe

2008-04-14 04:33 34304 8181a7405cfba23178508c8b837e1333 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe

2008-04-14 04:33 34304 330f39a904e20672ffc4a035fb3e78af c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ctfmon.exe

2009-04-03 21:58 15360 14f3132dc8d481eba108ba9e2cf1389e c:\windows\system32\ctfmon.exe

2004-08-05 20:00 34304 9b8145273b153cba00630a03f3ffd31c c:\windows\system32\dllcache\ctfmon.exe

 

2005-06-11 02:17 76800 101d417010dee6004a41675dad35b720 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-05 20:00 76800 68167077066c4e7712b48d0268a46130 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2004-08-05 20:00 76800 67a22c54ac31dc3b94a01db45d77b642 c:\windows\$NtUninstallKB896423$\spoolsv.exe

2008-04-14 04:34 76800 59d0d18b7cd8d3811282751758e94372 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe

2008-04-14 04:34 76800 9beabc5acd60828b61be65231878f7a5 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\spoolsv.exe

2009-04-07 16:16 57856 9d10cde0735ca583eaeb7ec4bacb0839 c:\windows\system32\spoolsv.exe

2004-08-19 16:10 76800 ac2a0001265ad3e7cf82e0225bd21cd5 c:\windows\system32\dllcache\spoolsv.exe

 

2004-08-05 20:00 44032 340283e6986ec63596f2e16d06e21279 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 04:34 45568 26bf6b49401333ff2d061a47ccfb90f5 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

2008-04-14 04:34 45568 4cf572364737db447420c278abdfab49 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\userinit.exe

2009-04-03 21:59 25088 1fa37ceb2e7eb9fc851d14ad1a56a335 c:\windows\system32\userinit.exe

2004-08-05 20:00 44032 7e493f374f6fda57e47bc498a9ba9bf3 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-04-03 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2009-04-03 139264]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

 

c:\documents and settings\Administrateur.CHRIS\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.NOM-EB85C523610.000\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\ThunMail\testabd.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"msacm.msadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msadp32.acm

"msacm.imaadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\imaadp32.acm

"msacm.msg711"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg711.acm

"msacm.msg723"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg723.acm

"msacm.msgsm610"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msgsm32.acm

"vidc.m261"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh261.drv

"vidc.m263"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.i420"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.mrle"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msrle32.dll

"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.msvc"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.cram"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.mpg4"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp41"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp42"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp43"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4s"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4v"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.wmv3"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\WMV9VCM.dll

"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msaud32.acm

"vidc.vp30"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp31"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp60"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

"vidc.vp61"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8emc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

 

S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-04 108032]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - SYNSEND

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-04-03 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{D5BF49A0-94F3-42BD-F434-3604812C8955} - c:\windows\system32\ds43g4nfjkn93.dll

HKLM-Run-10699 - c:\windows\system32\5.tmp.exe

HKU-Default-Run-svc - c:\program files\ThunMail\testabd.exe

HKU-Default-Run-Windows Resurections - c:\windows\TEMP\cdeje2y.exe

HKU-Default-Run-Diagnostic Manager - c:\windows\TEMP\3510478060.exe

SharedTaskScheduler-{D5BF49A0-94F3-42BD-F434-3604812C8955} - c:\windows\system32\ds43g4nfjkn93.dll

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.sfr.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Download with &DAP - c:\progra~1\DAP\dapextie.htm

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-07 16:40:53

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\windows\system32\drivers\dywbxpcpqbzpkzn.sys 47232 bytes executable

c:\windows\system32\drivers\str.sys 69765 bytes

 

Scan terminé avec succès

Fichiers cachés: 2

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qcsmdwvf]

"ImagePath"="\??\c:\windows\system32\drivers\dywbxpcpqbzpkzn.sys"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(536)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WININET.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\windows\system32\HPZipm12.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

c:\program files\Internet Explorer\iexplore.exe

.

**************************************************************************

.

Heure de fin: 2009-04-07 16:45:31 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-07 14:45:26

ComboFix2.txt 2009-04-06 08:21:00

 

Avant-CF: 46 177 206 272 octets libres

Après-CF: 45,750,624,256 octets libres

 

393 --- E O F --- 2009-04-02 07:30:34

pear Devil Member !

pear

Posté(e)
Posté(e)

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

Folder::

File::

c:\windows\system32\11.tmp

c:\windows\system32\12.tmp

c:\windows\system32\D.tmp

c:\windows\system32\F.tmp

c:\windows\system32\C.tmp

c:\windows\system32\4.tmp

c:\windows\system32\13.tmp

c:\windows\system32\10.tmp

c:\windows\system32\E.tmp

c:\windows\system32\B.tmp

c:\windows\system32\A.tmp

c:\windows\system32\8.tmp

c:\windows\DUMP66f7.tmp

c:\windows\DUMP4352.tmp

c:\windows\DUMP32e7.tmp

c:\windows\system32\3.tmp

c:\windows\system32\2.tmp

c:\windows\system32\3361

Driver::

dywbxpcpqbzpkzn.sys

 

Rootkit::

c:\windows\system32\drivers\dywbxpcpqbzpkzn.sys

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qcsmdwvf]

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

animation1md2.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

 

Téléchargez:

http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe

 

Un fois lancé, l'outil vérifie que la version de l'OS, la langue d'installation,

et le service pack installé sont bien pris en charge.

ensuite il ouvre le bloc-note pour que la liste des fichiers à remplacé soit saisie.

Il suffit de mettre le chemin complet de chaque fichier à remplacer,

c:\windows\system32\svchost.exe

c:\windows\explorer.exe

c:\windows\system32\ctfmon.exe

c:\windows\system32\spoolsv.exe

c:\windows\system32\userinit.exe

c:\windows\system32\drivers\ndis.sys

 

 

A la fermeture du bloc-note, l'outil télécharge le service pack correspondant puis extrait les fichiers sélectionnés de celui-ci .

Après,il confirme que le remplacement des fichiers sélectionnés est effectué et une invite demande le redémarrage du PC.

 

 

Ensuite , relancez Combofix, svp.

catch1 Member

catch1

Posté(e)
  • Auteur
Posté(e)

Ai essayé de faire correctement la proédure : Gros problèmes .

Le premier passage de Combofix s'est bien passé. Voici son log :

ComboFix 09-04-04.01 - HP_Propriétaire 2009-04-07 18:21:01.10 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.382.122 [GMT 2:00]

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Outdated)

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\DUMP32e7.tmp

c:\windows\DUMP4352.tmp

c:\windows\DUMP66f7.tmp

c:\windows\system32\10.tmp

c:\windows\system32\11.tmp

c:\windows\system32\12.tmp

c:\windows\system32\13.tmp

c:\windows\system32\2.tmp

c:\windows\system32\3.tmp

c:\windows\system32\3361

c:\windows\system32\4.tmp

c:\windows\system32\8.tmp

c:\windows\system32\A.tmp

c:\windows\system32\B.tmp

c:\windows\system32\C.tmp

c:\windows\system32\D.tmp

c:\windows\system32\E.tmp

c:\windows\system32\F.tmp

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\DUMP32e7.tmp

c:\windows\DUMP4352.tmp

c:\windows\DUMP66f7.tmp

c:\windows\system32\10.tmp

c:\windows\system32\11.tmp

c:\windows\system32\12.tmp

c:\windows\system32\13.tmp

c:\windows\system32\2.tmp

c:\windows\system32\3.tmp

c:\windows\system32\4.tmp

c:\windows\system32\8.tmp

c:\windows\system32\A.tmp

c:\windows\system32\B.tmp

c:\windows\system32\C.tmp

c:\windows\system32\D.tmp

c:\windows\system32\drivers\dywbxpcpqbzpkzn.sys

c:\windows\system32\drivers\str.sys

c:\windows\system32\E.tmp

c:\windows\system32\F.tmp

 

c:\windows\system32\svchost.exe . . . est infecté!!

 

c:\windows\system32\spoolsv.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SYNSEND

-------\Service_restore

-------\Service_synsend

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-07 11:18 . 2009-04-07 11:19 <REP> d-------- C:\gamer

2009-04-07 11:16 . 2009-04-07 11:16 278,161 --a------ C:\gamer.zip

2009-04-07 10:24 . 2009-04-07 10:24 84 --a------ c:\windows\system32\6.tmp

2009-04-06 18:44 . 2009-04-06 18:44 <REP> d-------- C:\gmer

2009-04-06 18:42 . 2009-04-06 18:42 278,161 --a------ C:\gmer.zip

2009-04-06 12:28 . 2009-04-07 16:28 <REP> d-------- c:\windows\system32\3361

2009-04-06 12:28 . 2009-04-07 16:15 <REP> d-------- c:\windows\dhcp

2009-04-06 12:28 . 2009-04-07 06:55 <REP> dr-hs---- c:\program files\ThunMail

2009-04-06 12:28 . 2009-04-06 12:28 108,336 --a------ c:\windows\system32\MSWINSCK.OCX

2009-04-06 12:28 . 2009-04-05 22:51 21,704 --a------ c:\windows\system32\vv.exe

2009-04-06 10:47 . 2009-04-06 10:47 679 --a------ C:\Fich2.bat

2009-04-06 10:46 . 2009-04-06 10:46 127 --a------ C:\Fich1.bat

2009-04-04 21:58 . 2004-08-05 20:00 1,055,232 --a------ c:\windows\explorer.backup

2009-04-04 21:58 . 2004-08-05 20:00 76,800 --a------ c:\windows\system32\spoolsv.backup

2009-04-04 21:57 . 2004-08-05 20:00 33,280 --a------ c:\windows\system32\svchost.backup

2009-04-04 21:54 . 2009-04-05 21:12 <REP> d-------- C:\FR-files

2009-04-04 21:46 . 2009-04-05 21:09 <REP> d-------- C:\WinFileReplace

2009-04-04 19:53 . 2009-04-04 19:53 11,452,389 --a------ c:\windows\services.ex_

2009-04-04 16:47 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\LPT$VPN.943

2009-04-04 16:46 . 2009-04-04 16:46 <REP> d-------- c:\windows\AU_Temp

2009-04-04 16:46 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\VPTNFILE.943

2009-04-04 08:26 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\program files\Avira

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 08:35 . 2009-04-03 14:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\.ABC

2009-04-02 17:20 . 2009-04-05 06:28 <REP> d-------- c:\program files\Sudoku

2009-04-02 16:51 . 2009-04-02 16:51 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Goto.Games

2009-04-02 16:46 . 2009-04-02 16:47 <REP> d-------- c:\program files\Objectif Tarot

2009-04-02 16:46 . 2009-04-02 16:46 150,528 --a------ c:\windows\system32\SpoonUninstall.exe

2009-04-02 16:46 . 2009-04-02 16:46 82,994 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.bmp

2009-04-02 16:46 . 2009-04-02 16:46 1,722 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.dat

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:28 . 2009-04-03 21:59 98,304 --a------ c:\windows\system32\qttask.exe

2009-04-02 16:24 . 2004-02-17 10:11 53,248 --a------ c:\windows\system32\vp6dec_settings.cpl

2009-04-02 16:23 . 2003-08-18 05:10 122,880 --a------ c:\windows\system32\directx.cpl

2009-04-02 16:23 . 2003-03-25 05:49 106,544 --a------ c:\windows\system32\tweakui.cpl

2009-04-02 16:23 . 2003-03-25 05:49 98,304 --a------ c:\windows\system32\startup.cpl

2009-04-02 16:23 . 2003-03-25 05:49 51,238 --a------ c:\windows\system32\tweakui.hlp

2009-04-02 16:18 . 2004-05-25 16:06 417,792 --a------ c:\windows\system32\ac3filter.cpl

2009-04-02 16:10 . 2009-04-02 16:10 242,176 --a------ c:\windows\~INSX362.EX_

2009-04-02 15:52 . 2009-04-02 15:52 <REP> d-------- C:\bases

2009-04-02 15:08 . 2009-04-02 15:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\vlc

2009-04-02 15:02 . 2009-04-02 15:02 124 --a------ c:\windows\system32\7.tmp

2009-04-02 14:53 . 2009-04-03 20:54 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2009-04-02 12:23 . 2009-04-02 12:23 <REP> d-------- c:\windows\system32\fr-fr

2009-04-02 11:58 . 2009-04-02 11:58 <REP> d-------- C:\6761876ae56e766ef0e09bcba4e9d4b7

2009-04-02 11:39 . 2009-04-04 16:26 <REP> d-------- c:\program files\Spamihilator

2009-04-02 11:01 . 2009-04-04 18:43 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Spamihilator

2009-04-02 10:57 . 2009-04-02 10:57 130,813 --a------ C:\F3.tmp

2009-04-02 10:39 . 2009-04-02 10:39 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Microsoft Web Folders

2009-04-02 10:35 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2009-04-02 10:31 . 2001-11-02 15:10 184,320 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr

2009-04-02 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-04-02 09:58 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-04-02 09:57 . 2003-05-23 03:06 73,869 --a------ c:\windows\system32\EBPMON24.DLL

2009-04-02 09:57 . 2003-05-21 04:27 64,000 --a------ c:\windows\system32\ECBTEG.DLL

2009-04-02 09:57 . 2009-04-03 21:58 39,936 --a------ c:\windows\system32\drivers\CDAC11BA.EXE

2009-04-02 09:57 . 2000-06-07 03:01 34,304 --a------ c:\windows\system32\EBPCHP.DLL

2009-04-02 09:57 . 2001-09-04 04:04 182 --a------ c:\windows\system32\EBPPORT4.DAT

2009-04-02 09:56 . 2009-04-02 09:56 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\ABBYY

2009-04-02 09:54 . 2003-04-02 00:00 217,088 --a------ c:\windows\system32\esdtr.dll

2009-04-02 09:54 . 2001-11-15 00:00 47,104 --a------ c:\windows\system32\escimgd.dll

2009-04-02 09:54 . 2002-06-20 00:00 32,256 --a------ c:\windows\system32\escwiad.dll

2009-04-02 09:54 . 2002-06-20 00:00 22,528 --a------ c:\windows\system32\esccmd.dll

2009-04-02 06:54 . 2009-04-05 21:09 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Orbit

2009-04-02 06:50 . 2009-04-02 06:50 172,032 --a------ c:\windows\system32\AniGIF.ocx

2009-04-02 06:35 . 1997-09-28 14:22 92,672 --a------ c:\windows\system32\COMDLG32.OCX

2009-04-02 06:35 . 1997-09-28 14:22 37,376 --a------ c:\windows\system32\VbVfw.dll

2009-04-02 03:09 . 2009-04-02 03:31 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-04-02 03:06 . 2008-08-14 15:44 2,182,400 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,059,776 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-02 03:03 . 2008-10-24 13:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys

2009-04-02 03:01 . 2006-09-06 16:43 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys

2009-04-02 01:07 . 2009-04-02 01:07 8,192 --a------ c:\windows\system32\edb.chk

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-07 16:30 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-07 16:30 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-07 06:54 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-07 06:54 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-07 18:20 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2009-04-07 18:20 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Symantec

2009-04-02 01:06 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\SampleView

2009-04-02 01:06 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer

2009-04-02 01:06 . 2009-04-07 16:15 <REP> d-------- c:\documents and settings\HP_Propriétaire

2009-04-02 01:06 . 2004-08-05 20:00 221,184 --a------ c:\windows\system32\wmpns.dll

2009-04-02 01:06 . 2009-04-02 01:06 1,832 -rahs---- c:\windows\system32\drivers\103C_HP_CPC_EC616AA-ABF t3128.fr_YC_0Pavi_QCZC531_E53FRheBLU4_47_IAMETHYST-M_SMSI_V1.0_B3.20_T050708_WXH2_L40C_M383_J160_7AMD_8Sempron_91.79_#060127_N10EC8

139_Z11C1048C_G10025954_OLITE-ON DVDRW SOHW-1633S_DPTS0307.MRK

2009-04-02 01:02 . 2005-01-02 03:48 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS

2009-04-02 01:02 . 2005-01-02 04:07 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Symantec

2009-04-02 01:02 . 2005-01-02 03:58 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\SampleView

2009-04-02 01:02 . 2005-01-02 03:47 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Apple Computer

2009-04-02 00:50 . 2009-04-03 12:13 94,208 --a------ c:\windows\DUMP98e4.tmp

2009-04-02 00:50 . 2009-04-02 20:32 94,208 --a------ c:\windows\DUMP832a.tmp

2009-04-01 22:06 . 2009-04-03 18:55 <REP> d-------- C:\Copie mes documents

2009-04-01 18:10 . 2009-04-01 18:10 <REP> d-------- c:\windows\ERUNT

2009-04-01 18:09 . 2009-04-04 22:24 130 --a------ c:\windows\adobe.bat

2009-04-01 18:09 . 2009-04-04 19:53 7 --a------ c:\windows\_id.dat

2009-04-01 18:08 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\WINDOWS

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage réseau

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage d'impression

2009-04-01 18:08 . 2008-10-11 03:30 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Modèles

2009-04-01 18:08 . 2005-01-02 04:16 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Mes documents

2009-04-01 18:08 . 2004-11-25 05:26 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Menu Démarrer

2009-04-01 18:08 . 2008-10-10 19:05 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Favoris

2009-04-01 18:08 . 2005-01-02 03:51 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Bureau

2009-04-01 18:08 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\Symantec

2009-04-01 18:08 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Application Data\SampleView

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-07 14:15 1,055,232 ----a-w c:\windows\explorer.exe

2009-04-06 14:13 213,376 ----a-w c:\windows\system32\drivers\ndis.sys

2009-04-04 21:16 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-04-04 14:46 91,744 -c--a-w c:\windows\BPMNT.dll

2009-04-04 14:46 1,213,784 -c--a-w c:\windows\vsapi32.dll

2009-04-04 14:45 69,689 -c--a-w c:\windows\UNZIP.DLL

2009-04-04 14:45 507,904 -c--a-w c:\windows\TMUPDATE.DLL

2009-04-04 10:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-03 20:00 --------- d-----w c:\program files\DAP

2009-04-03 19:58 57,344 ----a-w c:\windows\ALCXMNTR.EXE

2009-04-03 15:50 --------- d-----w c:\program files\Microsoft Money

2009-04-03 06:35 --------- d-----w c:\program files\ABC

2009-04-03 05:10 --------- d-----w c:\program files\Smart Panel

2009-04-03 05:09 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 04:58 --------- d-----w c:\program files\EPSON

2009-04-02 20:32 --------- d-----w c:\program files\AsfTools

2009-04-02 14:34 --------- d-----w c:\program files\BzTarot

2009-04-02 14:28 --------- d-----w c:\program files\Quicktime

2009-04-02 14:26 --------- d-----w c:\program files\ACE Mega CoDecS Pack

2009-04-02 13:48 --------- d-----w c:\program files\ACD Systems

2009-04-02 13:36 --------- d-----w c:\program files\Microsoft Bootvis

2009-04-02 11:57 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-04-02 09:37 --------- d-----w c:\program files\Orbitdownloader

2009-04-02 08:58 --------- d-----w c:\program files\Eliminate Spam!

2009-04-02 08:38 --------- d-----w c:\program files\microsoft frontpage

2009-04-02 04:57 --------- d-----w c:\program files\A.S.C

2009-04-02 04:36 --------- d-----w c:\program files\PeckJoin

2009-04-02 03:56 --------- d-----w c:\program files\CCleaner

2009-04-02 03:53 --------- d-----w c:\program files\Easy Internet signup

2009-04-01 23:08 --------- d-----w c:\program files\Symantec

2009-04-01 23:08 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-01 07:25 71,749 -c--a-w c:\windows\hcextoutput.dll

2009-04-01 07:25 368,709 -c--a-w c:\windows\tsc.exe

2009-04-01 03:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-01 00:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 05:50 --------- d-----w c:\program files\eMule

2009-03-28 10:26 --------- d-----w c:\program files\TomTom HOME 2

2009-03-18 15:38 --------- d-----w c:\program files\Tomtomax Maxi-Box

2009-03-18 13:34 --------- d-----w c:\program files\Yahoo!

2009-02-22 09:26 --------- d-----w c:\program files\WinAVI Video Converter 9.0

2009-02-16 14:17 --------- d-----w c:\program files\Video Strip Poker Full Version - NICOLE

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2007-01-28 18:20 22 --sha-w c:\windows\SMINST\HPCD.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

.

 

------- Sigcheck -------

 

2004-08-05 20:00 33280 f2e9e2bb32afa47558ed88a19c00d32a c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-14 04:34 33280 4d185cc4379906b3131dfeb549a2a27e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe

2008-04-14 04:34 33280 d938f7919cdae924800ff857482dd052 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\svchost.exe

2009-04-07 16:16 33280 e073bdd9f0d227e937d359f6d318ab14 c:\windows\system32\svchost.exe

2004-08-19 16:10 33280 48e130102a691a742cf082e34a39ce8b c:\windows\system32\dllcache\svchost.exe

 

2004-08-05 20:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys

2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ndis.sys

2008-04-13 21:20 182656 1df7f42665c94b825322fae71721130d c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ndis.sys

2009-04-06 16:13 213376 ff85ebd2ad3679254cf251136c62d764 c:\windows\system32\dllcache\ndis.sys

2009-04-06 16:13 213376 ff85ebd2ad3679254cf251136c62d764 c:\windows\system32\drivers\ndis.sys

 

2009-04-07 16:15 1055232 e1837536d4d0c12d328ec68b4b238750 c:\windows\explorer.exe

2007-06-13 15:10 1056256 6e77d2e39fdf839e2475406b0e854d9f c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 20:00 1055232 678e4eae8ed8741191bac5743157f12f c:\windows\$NtServicePackUninstall$\explorer.exe

2004-08-05 20:00 1055232 3a52c5525902fb158b435f5dcc9764fe c:\windows\$NtUninstallKB938828$\explorer.exe

2008-04-14 04:34 1056768 58f989c78fcfa836ac446b39a9e49d0c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe

2008-04-14 04:34 1056768 2a6361367c665bec3f2b31c423af2cf8 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\explorer.exe

2004-08-19 16:09 1055232 dde1fb7c583310811b326a8563b8eed8 c:\windows\system32\dllcache\explorer.exe

 

2004-08-05 20:00 34304 ecf932debc3adb435a516f58ddffec9d c:\windows\$NtServicePackUninstall$\ctfmon.exe

2008-04-14 04:33 34304 8181a7405cfba23178508c8b837e1333 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe

2008-04-14 04:33 34304 330f39a904e20672ffc4a035fb3e78af c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ctfmon.exe

2009-04-03 21:58 15360 14f3132dc8d481eba108ba9e2cf1389e c:\windows\system32\ctfmon.exe

2004-08-05 20:00 34304 9b8145273b153cba00630a03f3ffd31c c:\windows\system32\dllcache\ctfmon.exe

 

2005-06-11 02:17 76800 101d417010dee6004a41675dad35b720 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-05 20:00 76800 68167077066c4e7712b48d0268a46130 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2004-08-05 20:00 76800 67a22c54ac31dc3b94a01db45d77b642 c:\windows\$NtUninstallKB896423$\spoolsv.exe

2008-04-14 04:34 76800 59d0d18b7cd8d3811282751758e94372 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe

2008-04-14 04:34 76800 9beabc5acd60828b61be65231878f7a5 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\spoolsv.exe

2009-04-07 16:16 57856 9d10cde0735ca583eaeb7ec4bacb0839 c:\windows\system32\spoolsv.exe

2004-08-19 16:10 76800 ac2a0001265ad3e7cf82e0225bd21cd5 c:\windows\system32\dllcache\spoolsv.exe

 

2004-08-05 20:00 44032 340283e6986ec63596f2e16d06e21279 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 04:34 45568 26bf6b49401333ff2d061a47ccfb90f5 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

2008-04-14 04:34 45568 4cf572364737db447420c278abdfab49 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\userinit.exe

2009-04-03 21:59 25088 1fa37ceb2e7eb9fc851d14ad1a56a335 c:\windows\system32\userinit.exe

2004-08-05 20:00 44032 7e493f374f6fda57e47bc498a9ba9bf3 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-04-07_16.44.29.48 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-04-07 14:41:11 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-04-07 16:19:21 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-04-07 14:41:11 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-04-07 16:19:21 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2009-04-07 14:41:11 114,688 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2009-04-07 16:19:21 311,296 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-04-03 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2009-04-03 139264]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

 

c:\documents and settings\Administrateur.CHRIS\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.NOM-EB85C523610.000\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\ThunMail\testabd.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"msacm.msadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msadp32.acm

"msacm.imaadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\imaadp32.acm

"msacm.msg711"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg711.acm

"msacm.msg723"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg723.acm

"msacm.msgsm610"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msgsm32.acm

"vidc.m261"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh261.drv

"vidc.m263"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.i420"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.mrle"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msrle32.dll

"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.msvc"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.cram"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.mpg4"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp41"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp42"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp43"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4s"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4v"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.wmv3"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\WMV9VCM.dll

"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msaud32.acm

"vidc.vp30"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp31"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp60"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

"vidc.vp61"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8emc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

 

S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-04 108032]

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-04-03 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.sfr.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Download with &DAP - c:\progra~1\DAP\dapextie.htm

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-07 18:28:39

Windows 5.1.2600 Service Pack 2 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(532)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WININET.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\windows\system32\HPZipm12.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

.

**************************************************************************

.

Heure de fin: 2009-04-07 18:33:06 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-07 16:33:03

ComboFix2.txt 2009-04-07 14:45:37

ComboFix3.txt 2009-04-06 08:21:00

 

Avant-CF: 45 723 656 192 octets libres

Après-CF: 45,712,318,464 octets libres

 

397 --- E O F --- 2009-04-02 07:30:34

 

 

Pour WinFilereplace, ça été difficile. Il a commencé a travailler eta obligé le pc a redémarrer très vite : voici le log

 

WinFileRep - ver : 1.00 - by Loup blanc

 

---------------------------

Microsoft Windows XP

Service Pack 2

Français

---------------------------

 

============ Comparaison des fichiers avant remplacement ============

 

---------

Les fichiers

"c:\WINDOWS\system32\svchost.exe"

et

"C:\FR-files\svchost.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\explorer.exe"

et

"C:\FR-files\explorer.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\ctfmon.exe"

et

"C:\FR-files\ctfmon.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\spoolsv.exe"

et

"C:\FR-files\spoolsv.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\userinit.exe"

et

"C:\FR-files\userinit.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\drivers\ndis.sys"

et

"C:\FR-files\ndis.sys"

sont différents...

-----------

 

Manifestement il n'a pas fait son travail. A la remise en route plusieurs bugs :

En mode normal, l'adresse 0x00390681 ne peut pas être "written".

En mode sans échec, l'adresse memoire 0x0000005c ne peut pas être "read".

Ecran bleu. Ai été obligé de lancer explorer par CTRL+Alt+Supp.

 

Ai relancé WinFile replace en mode sans échec. Voici le log : pas satisfaisant.

 

WinFileRep - ver : 1.00 - by Loup blanc

 

---------------------------

Microsoft Windows XP

Service Pack 2

Français

---------------------------

 

============ Comparaison des fichiers avant remplacement ============

 

---------

Les fichiers

"c:\WINDOWS\system32\svchost.exe"

et

"C:\FR-files\svchost.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\explorer.exe"

et

"C:\FR-files\explorer.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\ctfmon.exe"

et

"C:\FR-files\ctfmon.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\spoolsv.exe"

et

"C:\FR-files\spoolsv.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\userinit.exe"

et

"C:\FR-files\userinit.exe"

sont différents...

-----------

 

Les fichiers

"c:\WINDOWS\system32\drivers\ndis.sys"

et

"C:\FR-files\ndis.sys"

sont identiques...

-----------

 

Ai quand même repassé ComboFix. Voici le log : toujours infecté.

ComboFix 09-04-04.01 - HP_Propriétaire 2009-04-07 19:34:15.12 - NTFSx86 NETWORK

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\userinit.exe . . . est infecté!!

 

c:\windows\system32\svchost.exe . . . est infecté!!

 

c:\windows\system32\spoolsv.exe . . . est infecté!!

 

c:\windows\explorer.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))

.

 

2009-04-07 18:39 . 2009-04-06 16:13 213,376 --a------ c:\windows\system32\drivers\ndis.backup

2009-04-07 18:39 . 2009-04-03 21:59 25,088 --a------ c:\windows\system32\userinit.backup

2009-04-07 18:39 . 2009-04-03 21:58 15,360 --a------ c:\windows\system32\ctfmon.backup

2009-04-07 11:18 . 2009-04-07 11:19 <REP> d-------- C:\gamer

2009-04-07 11:16 . 2009-04-07 11:16 278,161 --a------ C:\gamer.zip

2009-04-07 10:24 . 2009-04-07 10:24 84 --a------ c:\windows\system32\6.tmp

2009-04-06 18:44 . 2009-04-06 18:44 <REP> d-------- C:\gmer

2009-04-06 18:42 . 2009-04-06 18:42 278,161 --a------ C:\gmer.zip

2009-04-06 12:28 . 2009-04-07 16:28 <REP> d-------- c:\windows\system32\3361

2009-04-06 12:28 . 2009-04-07 16:15 <REP> d-------- c:\windows\dhcp

2009-04-06 12:28 . 2009-04-07 06:55 <REP> dr-hs---- c:\program files\ThunMail

2009-04-06 12:28 . 2009-04-06 12:28 108,336 --a------ c:\windows\system32\MSWINSCK.OCX

2009-04-06 12:28 . 2009-04-05 22:51 21,704 --a------ c:\windows\system32\vv.exe

2009-04-06 10:47 . 2009-04-06 10:47 679 --a------ C:\Fich2.bat

2009-04-06 10:46 . 2009-04-06 10:46 127 --a------ C:\Fich1.bat

2009-04-04 21:58 . 2004-08-05 20:00 1,055,232 --a------ c:\windows\explorer.backup

2009-04-04 21:58 . 2004-08-05 20:00 76,800 --a------ c:\windows\system32\spoolsv.backup

2009-04-04 21:57 . 2004-08-05 20:00 33,280 --a------ c:\windows\system32\svchost.backup

2009-04-04 21:54 . 2009-04-07 19:33 <REP> d-------- C:\FR-files

2009-04-04 21:46 . 2009-04-07 19:28 <REP> d-------- C:\WinFileReplace

2009-04-04 19:53 . 2009-04-04 19:53 11,452,389 --a------ c:\windows\services.ex_

2009-04-04 16:47 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\LPT$VPN.943

2009-04-04 16:46 . 2009-04-04 16:46 <REP> d-------- c:\windows\AU_Temp

2009-04-04 16:46 . 2009-04-04 16:46 22,722,697 --a------ c:\windows\VPTNFILE.943

2009-04-04 08:26 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\program files\Avira

2009-04-04 08:25 . 2009-04-04 08:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 21:55 . 2009-04-04 05:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\DoctorWeb

2009-04-03 08:35 . 2009-04-03 14:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\.ABC

2009-04-02 17:20 . 2009-04-05 06:28 <REP> d-------- c:\program files\Sudoku

2009-04-02 16:51 . 2009-04-02 16:51 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Goto.Games

2009-04-02 16:46 . 2009-04-02 16:47 <REP> d-------- c:\program files\Objectif Tarot

2009-04-02 16:46 . 2009-04-02 16:46 150,528 --a------ c:\windows\system32\SpoonUninstall.exe

2009-04-02 16:46 . 2009-04-02 16:46 82,994 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.bmp

2009-04-02 16:46 . 2009-04-02 16:46 1,722 --a------ c:\windows\system32\SpoonUninstall-Objectif Tarot.dat

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 <REP> d-------- c:\documents and settings\HP_Propriétaire\.bztarot

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:34 . 2009-04-02 16:34 8 --a------ c:\documents and settings\HP_Propriétaire\.bztarotcumul.dat

2009-04-02 16:28 . 2009-04-03 21:59 98,304 --a------ c:\windows\system32\qttask.exe

2009-04-02 16:24 . 2004-02-17 10:11 53,248 --a------ c:\windows\system32\vp6dec_settings.cpl

2009-04-02 16:23 . 2003-08-18 05:10 122,880 --a------ c:\windows\system32\directx.cpl

2009-04-02 16:23 . 2003-03-25 05:49 106,544 --a------ c:\windows\system32\tweakui.cpl

2009-04-02 16:23 . 2003-03-25 05:49 98,304 --a------ c:\windows\system32\startup.cpl

2009-04-02 16:23 . 2003-03-25 05:49 51,238 --a------ c:\windows\system32\tweakui.hlp

2009-04-02 16:18 . 2004-05-25 16:06 417,792 --a------ c:\windows\system32\ac3filter.cpl

2009-04-02 16:10 . 2009-04-02 16:10 242,176 --a------ c:\windows\~INSX362.EX_

2009-04-02 15:52 . 2009-04-02 15:52 <REP> d-------- C:\bases

2009-04-02 15:08 . 2009-04-02 15:08 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\vlc

2009-04-02 15:02 . 2009-04-02 15:02 124 --a------ c:\windows\system32\7.tmp

2009-04-02 14:53 . 2009-04-03 20:54 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2009-04-02 12:23 . 2009-04-02 12:23 <REP> d-------- c:\windows\system32\fr-fr

2009-04-02 11:58 . 2009-04-02 11:58 <REP> d-------- C:\6761876ae56e766ef0e09bcba4e9d4b7

2009-04-02 11:39 . 2009-04-04 16:26 <REP> d-------- c:\program files\Spamihilator

2009-04-02 11:01 . 2009-04-04 18:43 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Spamihilator

2009-04-02 10:57 . 2009-04-02 10:57 130,813 --a------ C:\F3.tmp

2009-04-02 10:39 . 2009-04-02 10:39 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Microsoft Web Folders

2009-04-02 10:35 . 2004-08-03 23:01 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2009-04-02 10:31 . 2001-11-02 15:10 184,320 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr

2009-04-02 09:58 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys

2009-04-02 09:58 . 2004-08-03 22:58 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2009-04-02 09:57 . 2003-05-23 03:06 73,869 --a------ c:\windows\system32\EBPMON24.DLL

2009-04-02 09:57 . 2003-05-21 04:27 64,000 --a------ c:\windows\system32\ECBTEG.DLL

2009-04-02 09:57 . 2009-04-03 21:58 39,936 --a------ c:\windows\system32\drivers\CDAC11BA.EXE

2009-04-02 09:57 . 2000-06-07 03:01 34,304 --a------ c:\windows\system32\EBPCHP.DLL

2009-04-02 09:57 . 2001-09-04 04:04 182 --a------ c:\windows\system32\EBPPORT4.DAT

2009-04-02 09:56 . 2009-04-02 09:56 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\ABBYY

2009-04-02 09:54 . 2003-04-02 00:00 217,088 --a------ c:\windows\system32\esdtr.dll

2009-04-02 09:54 . 2001-11-15 00:00 47,104 --a------ c:\windows\system32\escimgd.dll

2009-04-02 09:54 . 2002-06-20 00:00 32,256 --a------ c:\windows\system32\escwiad.dll

2009-04-02 09:54 . 2002-06-20 00:00 22,528 --a------ c:\windows\system32\esccmd.dll

2009-04-02 06:54 . 2009-04-05 21:09 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Orbit

2009-04-02 06:50 . 2009-04-02 06:50 172,032 --a------ c:\windows\system32\AniGIF.ocx

2009-04-02 06:35 . 1997-09-28 14:22 92,672 --a------ c:\windows\system32\COMDLG32.OCX

2009-04-02 06:35 . 1997-09-28 14:22 37,376 --a------ c:\windows\system32\VbVfw.dll

2009-04-02 03:09 . 2009-04-02 03:31 <REP> d-------- c:\windows\system32\CatRoot_bak

2009-04-02 03:06 . 2008-08-14 15:44 2,182,400 --------- c:\windows\system32\dllcache\ntoskrnl.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,059,776 --------- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-04-02 03:06 . 2008-08-14 15:44 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe

2009-04-02 03:03 . 2008-10-24 13:10 453,632 --------- c:\windows\system32\dllcache\mrxsmb.sys

2009-04-02 03:01 . 2006-09-06 16:43 22,752 --a------ c:\windows\system32\spupdsvc.exe

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\drivers\bthport.sys

2009-04-02 01:10 . 2008-06-14 19:59 272,768 --------- c:\windows\system32\dllcache\bthport.sys

2009-04-02 01:07 . 2009-04-02 01:07 8,192 --a------ c:\windows\system32\edb.chk

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\WINDOWS

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage réseau

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\HP_Propriétaire\Voisinage d'impression

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-02 08:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Modèles

2009-04-02 01:06 . 2009-04-07 16:30 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-07 16:30 <REP> dr------- c:\documents and settings\HP_Propriétaire\Mes documents

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-02 10:38 <REP> d-------- c:\documents and settings\HP_Propriétaire\Menu Démarrer

2009-04-02 01:06 . 2009-04-07 06:54 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-07 06:54 <REP> dr------- c:\documents and settings\HP_Propriétaire\Favoris

2009-04-02 01:06 . 2009-04-07 19:33 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2009-04-07 19:33 <REP> d-------- c:\documents and settings\HP_Propriétaire\Bureau

2009-04-02 01:06 . 2005-01-02 04:07 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Symantec

2009-04-02 01:06 . 2005-01-02 03:58 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\SampleView

2009-04-02 01:06 . 2005-01-02 03:47 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Apple Computer

2009-04-02 01:06 . 2009-04-07 16:15 <REP> d-------- c:\documents and settings\HP_Propriétaire

2009-04-02 01:06 . 2004-08-05 20:00 221,184 --a------ c:\windows\system32\wmpns.dll

2009-04-02 01:06 . 2009-04-02 01:06 1,832 -rahs---- c:\windows\system32\drivers\103C_HP_CPC_EC616AA-ABF t3128.fr_YC_0Pavi_QCZC531_E53FRheBLU4_47_IAMETHYST-M_SMSI_V1.0_B3.20_T050708_WXH2_L40C_M383_J160_7AMD_8Sempron_91.79_#060127_N10EC8

139_Z11C1048C_G10025954_OLITE-ON DVDRW SOHW-1633S_DPTS0307.MRK

2009-04-02 01:02 . 2005-01-02 03:48 <REP> d-------- c:\windows\system32\config\systemprofile\WINDOWS

2009-04-02 01:02 . 2005-01-02 04:07 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Symantec

2009-04-02 01:02 . 2005-01-02 03:58 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\SampleView

2009-04-02 01:02 . 2005-01-02 03:47 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Apple Computer

2009-04-02 00:50 . 2009-04-03 12:13 94,208 --a------ c:\windows\DUMP98e4.tmp

2009-04-02 00:50 . 2009-04-02 20:32 94,208 --a------ c:\windows\DUMP832a.tmp

2009-04-01 22:06 . 2009-04-03 18:55 <REP> d-------- C:\Copie mes documents

2009-04-01 18:10 . 2009-04-01 18:10 <REP> d-------- c:\windows\ERUNT

2009-04-01 18:09 . 2009-04-04 22:24 130 --a------ c:\windows\adobe.bat

2009-04-01 18:09 . 2009-04-04 19:53 7 --a------ c:\windows\_id.dat

2009-04-01 18:08 . 2005-01-02 03:48 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\WINDOWS

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage réseau

2009-04-01 18:08 . 2004-11-24 03:37 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Voisinage d'impression

2009-04-01 18:08 . 2008-10-11 03:30 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Modèles

2009-04-01 18:08 . 2005-01-02 04:16 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Mes documents

2009-04-01 18:08 . 2004-11-25 05:26 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Menu Démarrer

2009-04-01 18:08 . 2008-10-10 19:05 <REP> d-------- c:\documents and settings\Administrateur.CHRIS\Favoris

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-04 21:16 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-04-04 14:46 91,744 -c--a-w c:\windows\BPMNT.dll

2009-04-04 14:46 1,213,784 -c--a-w c:\windows\vsapi32.dll

2009-04-04 14:45 69,689 -c--a-w c:\windows\UNZIP.DLL

2009-04-04 14:45 507,904 -c--a-w c:\windows\TMUPDATE.DLL

2009-04-04 10:21 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-04-03 20:00 --------- d-----w c:\program files\DAP

2009-04-03 19:58 57,344 ----a-w c:\windows\ALCXMNTR.EXE

2009-04-03 15:50 --------- d-----w c:\program files\Microsoft Money

2009-04-03 06:35 --------- d-----w c:\program files\ABC

2009-04-03 05:10 --------- d-----w c:\program files\Smart Panel

2009-04-03 05:09 --------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 04:58 --------- d-----w c:\program files\EPSON

2009-04-02 20:32 --------- d-----w c:\program files\AsfTools

2009-04-02 14:34 --------- d-----w c:\program files\BzTarot

2009-04-02 14:28 --------- d-----w c:\program files\Quicktime

2009-04-02 14:26 --------- d-----w c:\program files\ACE Mega CoDecS Pack

2009-04-02 13:48 --------- d-----w c:\program files\ACD Systems

2009-04-02 13:36 --------- d-----w c:\program files\Microsoft Bootvis

2009-04-02 11:57 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-04-02 09:37 --------- d-----w c:\program files\Orbitdownloader

2009-04-02 08:58 --------- d-----w c:\program files\Eliminate Spam!

2009-04-02 08:38 --------- d-----w c:\program files\microsoft frontpage

2009-04-02 04:57 --------- d-----w c:\program files\A.S.C

2009-04-02 04:36 --------- d-----w c:\program files\PeckJoin

2009-04-02 03:56 --------- d-----w c:\program files\CCleaner

2009-04-02 03:53 --------- d-----w c:\program files\Easy Internet signup

2009-04-01 23:08 --------- d-----w c:\program files\Symantec

2009-04-01 23:08 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-04-01 07:25 71,749 -c--a-w c:\windows\hcextoutput.dll

2009-04-01 07:25 368,709 -c--a-w c:\windows\tsc.exe

2009-04-01 03:45 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-04-01 00:18 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 05:50 --------- d-----w c:\program files\eMule

2009-03-28 10:26 --------- d-----w c:\program files\TomTom HOME 2

2009-03-18 15:38 --------- d-----w c:\program files\Tomtomax Maxi-Box

2009-03-18 13:34 --------- d-----w c:\program files\Yahoo!

2009-02-22 09:26 --------- d-----w c:\program files\WinAVI Video Converter 9.0

2009-02-16 14:17 --------- d-----w c:\program files\Video Strip Poker Full Version - NICOLE

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2007-01-28 18:20 22 --sha-w c:\windows\SMINST\HPCD.sys

2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll

.

 

------- Sigcheck -------

 

2004-08-05 20:00 33280 f2e9e2bb32afa47558ed88a19c00d32a c:\windows\$NtServicePackUninstall$\svchost.exe

2008-04-14 04:34 33280 4d185cc4379906b3131dfeb549a2a27e c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\svchost.exe

2008-04-14 04:34 33280 d938f7919cdae924800ff857482dd052 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\svchost.exe

2004-08-19 16:10 33280 48e130102a691a742cf082e34a39ce8b c:\windows\system32\svchost.exe

2004-08-19 16:10 33280 2eb7705c212597ddd0091c0eaf6a77ea c:\windows\system32\dllcache\svchost.exe

 

2004-08-19 16:09 1055232 dde1fb7c583310811b326a8563b8eed8 c:\windows\explorer.exe

2007-06-13 15:10 1056256 6e77d2e39fdf839e2475406b0e854d9f c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 20:00 1055232 678e4eae8ed8741191bac5743157f12f c:\windows\$NtServicePackUninstall$\explorer.exe

2004-08-05 20:00 1055232 3a52c5525902fb158b435f5dcc9764fe c:\windows\$NtUninstallKB938828$\explorer.exe

2008-04-14 04:34 1056768 58f989c78fcfa836ac446b39a9e49d0c c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe

2008-04-14 04:34 1056768 2a6361367c665bec3f2b31c423af2cf8 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\explorer.exe

2004-08-19 16:09 1055232 6fd85256f32e33ab9d00f892cf0e5aae c:\windows\system32\dllcache\explorer.exe

 

2004-08-05 20:00 34304 ecf932debc3adb435a516f58ddffec9d c:\windows\$NtServicePackUninstall$\ctfmon.exe

2008-04-14 04:33 34304 8181a7405cfba23178508c8b837e1333 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe

2008-04-14 04:33 34304 330f39a904e20672ffc4a035fb3e78af c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ctfmon.exe

2004-08-19 16:09 34304 9cecfa76e38e5a0d3860659e93ef8d68 c:\windows\system32\ctfmon.exe

2004-08-19 16:09 34304 9cecfa76e38e5a0d3860659e93ef8d68 c:\windows\system32\dllcache\ctfmon.exe

 

2005-06-11 02:17 76800 101d417010dee6004a41675dad35b720 c:\windows\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-05 20:00 76800 68167077066c4e7712b48d0268a46130 c:\windows\$NtServicePackUninstall$\spoolsv.exe

2004-08-05 20:00 76800 67a22c54ac31dc3b94a01db45d77b642 c:\windows\$NtUninstallKB896423$\spoolsv.exe

2008-04-14 04:34 76800 59d0d18b7cd8d3811282751758e94372 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\spoolsv.exe

2008-04-14 04:34 76800 9beabc5acd60828b61be65231878f7a5 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\spoolsv.exe

2004-08-19 16:10 76800 ac2a0001265ad3e7cf82e0225bd21cd5 c:\windows\system32\spoolsv.exe

2004-08-19 16:10 76800 4de0f3618f2e858eb0fa355712ca01bb c:\windows\system32\dllcache\spoolsv.exe

 

2004-08-05 20:00 44032 340283e6986ec63596f2e16d06e21279 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 04:34 45568 26bf6b49401333ff2d061a47ccfb90f5 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

2008-04-14 04:34 45568 4cf572364737db447420c278abdfab49 c:\windows\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\userinit.exe

2004-08-05 20:00 44032 7e493f374f6fda57e47bc498a9ba9bf3 c:\windows\system32\userinit.exe

2004-08-19 16:10 44032 8ed7f48c8db4ec01b4ae2a188cfe449d c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-04-07_16.44.29.48 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-04-07 14:41:11 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-04-07 17:26:23 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-04-07 14:41:11 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

+ 2009-04-07 17:26:23 65,536 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2009-04-07 14:41:11 114,688 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2009-04-07 17:26:23 311,296 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

- 2009-04-06 14:13:58 213,376 ----a-w c:\windows\system32\dllcache\ndis.sys

+ 2004-08-03 21:14:30 182,912 ----a-w c:\windows\system32\dllcache\ndis.sys

- 2009-04-06 14:13:58 213,376 ----a-w c:\windows\system32\drivers\ndis.sys

+ 2004-08-03 21:14:30 182,912 ----a-w c:\windows\system32\drivers\ndis.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 34304]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2009-04-03 139264]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

 

c:\documents and settings\Administrateur.CHRIS\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\Administrateur.NOM-EB85C523610.000\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2009-04-03 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\ThunMail\testabd.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"msacm.msadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msadp32.acm

"msacm.imaadpcm"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\imaadp32.acm

"msacm.msg711"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg711.acm

"msacm.msg723"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msg723.acm

"msacm.msgsm610"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msgsm32.acm

"vidc.m261"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh261.drv

"vidc.m263"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.i420"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msh263.drv

"vidc.mrle"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msrle32.dll

"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msyuv.dll

"vidc.msvc"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.cram"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msvidc32.dll

"vidc.mpg4"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp41"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp42"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp43"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4s"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.mp4v"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\mpg4c32.dll

"vidc.wmv3"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\WMV9VCM.dll

"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~2\msaud32.acm

"vidc.vp30"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp31"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp31vfw.dll

"vidc.vp60"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

"vidc.vp61"= c:\progra~1\ACEMEG~1\SystemS\ON2TEC~2\vp6vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"avg8emc"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=

"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-05 108032]

 

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - AFD

*Deregistered* - AntiVirSchedulerService

*Deregistered* - AntiVirService

*Deregistered* - Arp1394

*Deregistered* - Ati HotKey Poller

*Deregistered* - audstub

*Deregistered* - avgio

*Deregistered* - avgntflt

*Deregistered* - avipbb

*Deregistered* - Beep

*Deregistered* - C-DillaCdaC11BA

*Deregistered* - Cdfs

*Deregistered* - CryptSvc

*Deregistered* - Fastfat

*Deregistered* - Fips

*Deregistered* - FltMgr

*Deregistered* - Ftdisk

*Deregistered* - Gpc

*Deregistered* - IpNat

*Deregistered* - IPSec

*Deregistered* - KSecDD

*Deregistered* - mnmdd

*Deregistered* - MountMgr

*Deregistered* - MRxDAV

*Deregistered* - MRxSmb

*Deregistered* - Msfs

*Deregistered* - mssmbios

*Deregistered* - Mup

*Deregistered* - NDIS

*Deregistered* - NdisTapi

*Deregistered* - Ndisuio

*Deregistered* - NdisWan

*Deregistered* - NDProxy

*Deregistered* - NetBIOS

*Deregistered* - NetBT

*Deregistered* - Npfs

*Deregistered* - Ntfs

*Deregistered* - Null

*Deregistered* - PartMgr

*Deregistered* - Pml Driver HPZ12

*Deregistered* - PptpMiniport

*Deregistered* - PSched

*Deregistered* - RasAcd

*Deregistered* - Rasl2tp

*Deregistered* - RasMan

*Deregistered* - RasPppoe

*Deregistered* - Raspti

*Deregistered* - Rdbss

*Deregistered* - RDPCDD

*Deregistered* - RpcSs

*Deregistered* - sr

*Deregistered* - ssmdrv

*Deregistered* - swenum

*Deregistered* - TapiSrv

*Deregistered* - Tcpip

*Deregistered* - TermDD

*Deregistered* - Update

*Deregistered* - VgaSave

*Deregistered* - VolSnap

*Deregistered* - Wanarp

.

Contenu du dossier 'Tâches planifiées'

 

2009-03-31 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-04-03 c:\windows\Tasks\Maintenance en 1 clic.job

- c:\program files\TuneUp Utilities 2008\OneClick.exe []

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.sfr.fr/

uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=pavilion&pf=desktop

IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201

IE: &Download with &DAP - c:\progra~1\DAP\dapextie.htm

IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-07 20:00:53

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(532)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WININET.DLL

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\windows\system32\HPZipm12.exe

.

**************************************************************************

.

Heure de fin: 2009-04-07 20:05:17 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-07 18:05:13

ComboFix2.txt 2009-04-07 16:58:47

ComboFix3.txt 2009-04-07 16:33:13

ComboFix4.txt 2009-04-07 14:45:37

ComboFix5.txt 2009-04-07 17:33:59

 

Avant-CF: 46 094 757 888 octets libres

Après-CF: 45,678,551,040 octets libres

 

406 --- E O F --- 2009-04-02 07:30:34

 

Je sens le courage faiblir....

A bientôt

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

On reprend la manipulation d'hier 10.39

 

Le cd Xp est nécessaire.

Tout d'abord:

 

Copiez collez dans le bloc notes.

Enregistrez sous Fich1.bat

Installez le à la racine de votre partition système(Généralement C:\)

 

expand %cdrom%\i386\explorer.ex_ %systemdrive%\

ren %systemdrive%\explorer.ex_ explorer.exe

Taskkill /im explorer.exe /f /t

 

Fich2.bat sera à modifier en fonction des fichiers patchés repérés par DrWebCureIt

 

Copiez collez dans le bloc notes.

Enregistrez sous Fich2.bat

installez le à la racine de votre partition système(Généralement C:\)

 

ren %systemroot%\explorer.exe explorer.vir

copy %systemdrive%\explorer.exe %systemroot%\explorer.exe

Taskkill /im userinit.exe /f /t

ren %systemroot%\system32\userinit.exe userinit.vir

expand %cdrom%\i386\userinit.ex_ %systemroot%\system32\

ren %systemroot%\system32\userinit.ex_ userinit.exe

taskkill /im spoolsv.exe /f /t

ren %systemroot%\system32\spoolsv.exe spoolsv.vir

expand %cdrom%\i386\spoolsv.ex_ %systemroot%\system32\

ren %systemroot%\system32\spoolsv.ex_ spoolsv.exe

taskkill /im svchost.exe /f /t

ren %systemroot%\system32\svchost.exe svchost.vir

expand %cdrom%\i386\svchost.ex_ %systemroot%\system32\

ren %systemroot%\system32\svchost.ex_ svchost.exe

 

Si les fichiers batch ne se lançaient toujours pas.

en console de récupération

à C:\windows>

 

copiez collez successivement chaque ligne verte et validez.

 

ensuite redémarrez et relancez DrWeb.

catch1 Member

catch1

Posté(e)
  • Auteur
Posté(e)

Désolé,

Ai retenté la manip, elle coince au niveau batch comme hier.

En utilisation console, je ne sais pas faire de copier/coller.

La console fonctionne sur la sauvegarde de windows cachée sur une partition spéciale du disque dur. Je ne sais pas où elle se trouve.

Enfin, je n'ai plus d'imprimante opérationnelle. Elle a dû être désinstallée au cours des différentes manoeuvres.

Si j'introduis le CDrom de réinstallation, il me propose soit la réinstallation non destructive avec conservation de mes fichiers, soit le formatage pur et simple avec effacement total.

Moralité, nous en sommes toujours au même point avec quelques bugs supplémentaires.

Espérons que nous seront plus efficaces demain. L'espoir fait vivre.

Bonne nuit.

pear Devil Member !

pear

Posté(e)
Posté(e)

Vous m'aviez dit avoir accès à la console de récupération.

Elle était indispensable.

A défaut, il n'y a plus d'espoir.

Formatez et réinstallez.

 

Je regrette que vos efforts aient été vains, mais je ne vous avais pas bercé d'illusions.

Encore une fois , je suis désolé.

Virut est une sacré saleté!

catch1 Member

catch1

Posté(e)
  • Auteur
Posté(e)

Tout n'est peut-être pas perdu!

Lorsque je veux ouvrir la console, il me demande sur quelle session de windows je veux travailler :

1 : D:\i386

2 : D:\miniNT

3 : c:\windows.

Est-ce que çà peut aider?

Bonne nuit. A demain.

catch1 Member

catch1

Posté(e)
  • Auteur
Posté(e)

Bonjour,

Avant de lancer la bombe atomique(formatage), jai fait une reinstallation de Windows non destructive à partir de la sauvegarde constructeur sur le disque D.

Après la réinstallation de Windows, j'ai passé DrWeb CureIt suivant la procédure recommandée au départ, en mode sans échec. Il ne détecte rien. Donc, pas de rapport.

avant de faire une bêtise, je me suis arrêté là.

Que faire ensuite?. Je ne sais pas si la console fonctionne.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

Bravo pour votre ténacité!

On va donc faire un nouvel effort.

 

1) Copier les fichiers batch de c:\ vers C:\windows

2)désinstaller et réinstaller combofix et winreplace

3)lancer combofix et poster le rapport

catch1 Member

catch1

Posté(e)
  • Auteur
Posté(e)

N'ai pas pu attendre.

Pour l'instant j'ai une procédure encours et pas trace de Virut! jusqu'à maintenant. Attendons la fin : je vous communiquerai les résultats.

Je crois avoir compris pourquoi batch n'a pas fonctionné. D'après l'aide de Windows que j'ai récupérée, batch d'adresse à des fichiers .txt et non à des fichiers.bat; il aurait donc fallu enregistrer fich1.txt et non fich1.bat.

Je suis plein d'espoir et j'espère n'être pas déçu. Je vous tiens au courant dès que le vérifications sont terminées, avant d'entamer une nouvelle procédure en cas d'échec.

Pour info : suis d'origine Bretonne : ça explique!

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...