[resolu]Infections : TR/Alureon.14848J, TR/Alureon.BP.8 et WORM/Autoru

[Invité Ludéméter]

Bonjour, depuis que j'ai essayé d'installer un programme sur un site web (c'était pas du p2p), j'ai ces deux gros problèmes, j'en ai d'autres bien sur, mais ceux-ci nuisent à mon ordi, je peux plus démarrer spybot, les mises à jours de bitdefender n'étaient plus possibles (mais j'ai changé l'adresse du serveur), pareil pour avira (il a fallut que j'aille dans le fichier host : C:\WINDOWS\system32\drivers\etc), j'ai essayé d'installer AVG ou Kaspersky mais c'était pas possible (AVG free : il me mettait un problème de licence, alors que j'arrivais bien à le configurer avec le wizzard, mais aprés j'arrivais plus à l'ouvrir - Kaspersky : bonne installation mais impossible à ouvrir), pareil j'ai essayé de poster un rapport hijackthis dans ce post, mais j'arrive pas à l'ouvrir, voila, merci de votre aide :

 

extrait rapport de avira (c'est tout ce que j'ai =/ ) :

 

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmp10.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmp108.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmp2.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmp4.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmp5B.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmp7.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmp8.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmpA.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmpC.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temp\tmpE.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.BP.8

C:\RECYCLER\S-5-2-37-100001927-100012380-100015373-2424.com

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\1386218.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\196562.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\198125.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\2107562.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\217765.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\2661281.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\333687.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\707937.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\731187.tmp

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

C:\WINDOWS\Temp\tempo-1025109.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.14848J

C:\WINDOWS\Temp\tempo-453296.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.14848J

C:\WINDOWS\Temp\tempo-521062.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.14848J

C:\WINDOWS\Temp\tempo-709593.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.14848J

C:\WINDOWS\Temp\tempo-732953.tmp

[RESULTAT] Contient le cheval de Troie TR/Alureon.14848J

E:\RECYCLER\S-0-3-43-100020842-100018622-100007891-5911.com

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

E:\RECYCLER\S-5-2-37-100001927-100012380-100015373-2424.com

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

E:\RECYCLER\S-5-9-72-100007914-100003498-100028050-9477.com

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

E:\RECYCLER\S-6-1-35-100019285-100023280-100004116-8191.com

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

E:\RECYCLER\S-6-2-76-100014444-100030960-100008197-2541.com

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

E:\RECYCLER\S-7-2-18-100032348-100028812-100006337-7488.com

[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.mvp.30

 

C'est que dans des fichiers temporaires, et puis sur mon disque dur externe (E:/), il a créait un fichier "recycler" mais je vois rien dedans, pareil j'ai essayé d'effacer un DVD-RW vendredi dernier, il m'a aussi mit un fichier recylcer dessus, j'ose même pas mettre une clé usb, de peur que ça se développe

 

Merci pour votre aide =/

 

EDIT : j'arrive pas non plus à ouvrir MRT.exe (de windows =/ )

EDIT 2 : quand j'essaie d'ouvrir un de mes disques durs depuis le poste de travail (pas tout le temps, de temps en temps), j'ai une alerte du type "Windows ne trouve pas "RECYLER\S-4-5-29-....... .com". Vérifier que vous avez entré correctement le nom....", donc je suis obligé de taper la lettre du lecteur dans la barre d'adresse d'explorer

Modifié le 7 juin 2009 par angelique

[angelique]

Ola

 

» Télécharge UsbFix (de Chiquitine29) sur ton Bureau :

http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe

 

tutoriel:: http://www.malekal.com/tutorial_USBFix.php

 

--> Lance l'installation avec les paramètres par défaut.

 

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> lance "rechercher...."

 

-->poste le rapport UsbFix.txt

 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

 

* relance USBFix option 2 "nettoyage" :

--> Le PC va redémarrer.

 

Poste aussi le rapport

 

• creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

 

lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" .

 

Puis clique sur "Do a system scan and save a logfile"

 

fais un copier-coller du rapport

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ferme HijackThis

 

pareil j'ai essayé de poster un rapport hijackthis dans ce post, mais j'arrive pas à l'ouvrir, voila, merci de votre aide :

 

j'vais pas vu , poste les rapports d'USBFix deja , je te donne ensuite une autre démarche

Modifié le 1 juin 2009 par angelique

[Invité Ludéméter]

voici le dernier rapport (oui je ne savais pas que ça allait l'écraser, désolé =/ ) :

 

############################## [ UsbFix V3.027 | Cleaning ]

 

# User : Administrateur (Administrateurs) # LUDOVIC

# Update on 30/05/09 by Chiquitine29, C_XX & Chimay8

# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html

# Start at: 19:00:42 | 01/06/2009

 

# Intel® Pentium® 4 CPU 3.00GHz

# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2

# Internet Explorer 6.0.2900.2180

# Windows Firewall Status : Enabled

# AV : BitDefender Antivirus 12.0 [ Enabled | Updated ]

# AV : ZoneAlarm Security Suite Antivirus 7.0.483.000 [ Enabled | (!) Outdated ]

# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]

# FW : BitDefender Firewall[ Enabled ]12.0

# FW : ZoneAlarm Security Suite Firewall[ Enabled ]7.0.483.000

 

# A:\ # Disque amovible

# B:\ # Connexion réseau # 70,48 Go (29,05 Go free) [HP_PAVILION] # NTFS

# C:\ # Disque fixe local # 76,32 Go (1,22 Go free) # NTFS

# D:\ # Disque CD-ROM

# E:\ # Disque fixe local # 465,76 Go (3,47 Go free) [Disque dur EXTERNE] # NTFS

# F:\ # Disque CD-ROM

 

############################## [ Processus actifs ]

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

 

################## [ Fichiers # Dossiers infectieux ]

 

Deleted ! C:\DOCUME~1\ADMINI~1.LUD\LOCALS~1\Temp\MsgPlusUninstall.exe

Deleted ! C:\DOCUME~1\ADMINI~1.LUD\LOCALS~1\Temp\053109192736\z4barSpInstall.exe

E:\autorun.inf # -> fichier appelé : "E:\"RECYCLER\S-4-5-29-100031634-100006263-100009304-1243.com e:\"" ( absent ! )

Deleted ! E:\autorun.inf

Deleted ! E:\recycler\S-5-2-37-100001927-100012380-100015373-2424.com

 

################## [ Registre # Clés Run infectieuses ]

 

 

################## [ Registre # Mountpoints2 ]

 

Deleted ! HKCU\...\Explorer\MountPoints2\{70005798-d67b-11dd-b706-00138fb603fc}\Shell\AutoRun\Command

Deleted ! HKCU\...\Explorer\MountPoints2\{ec5b7ed4-2d0d-11de-b725-00138fb603fc}\Shell\AutoRun\Command

 

################## [ Listing des fichiers présent ]

 

[12/01/2007 20:08|--a------|6839] - C:\$$RENAME.TXT

[03/08/2004 23:00|-ra------|263488] - C:\$LDR$

[18/12/2006 16:00|--a------|0] - C:\217904040

[27/12/2006 18:12|--a------|95] - C:\AUTOEXEC.BAT

[26/03/2008 23:12|-rahs----|360] - C:\BOOT.BAK

[26/03/2008 23:20|-rahs----|360] - C:\boot.ini

[12/01/2009 18:43|---------|7702] - C:\bootex.log

[24/08/2001 14:00|-rahs----|4952] - C:\Bootfont.bin

[17/02/2008 15:38|--a------|1960] - C:\cleannavi.txt

[17/02/2008 15:42|--a------|1960] - C:\cleannavi3.txt

[03/08/2004 23:00|-r-hs----|263488] - C:\cmldr

[17/10/2006 08:21|--a------|0] - C:\CONFIG.SYS

[05/03/2009 21:23|--a------|8914228] - C:\immudebug.log

[14/08/2008 19:28|--a------|1120] - C:\INSTALL.LOG

[17/10/2006 08:21|-rahs----|0] - C:\IO.SYS

[25/03/2007 17:10|--a------|505102778] - C:\MDL 1.1 Protocol Debug.txt

[02/02/2009 00:08|--a------|157746] - C:\MDL 2.0 Debug.txt

[17/10/2006 08:21|-rahs----|0] - C:\MSDOS.SYS

[03/08/2004 22:38|-rahs----|47564] - C:\NTDETECT.COM

[12/11/2008 07:54|--a------|251712] - C:\ntldr

[?|?|?] - C:\pagefile.sys

[11/03/2008 21:08|--a------|13030] - C:\PDOXUSRS.NET

[17/12/2006 12:06|--a------|0] - C:\pixy_i.fil

[17/12/2006 12:06|--a------|18] - C:\pixy_o.ini

[17/01/2007 19:10|--ah-----|268] - C:\sqmdata00.sqm

[17/01/2007 19:10|--ah-----|244] - C:\sqmnoopt00.sqm

[13/05/2007 13:04|--ah-----|244] - C:\sqmnoopt01.sqm

[31/07/2007 16:53|--ah-----|244] - C:\sqmnoopt02.sqm

[05/09/2007 18:22|--ah-----|244] - C:\sqmnoopt03.sqm

[31/10/2005 17:56|--a------|700416] - C:\StubInstaller.exe

[26/05/2009 17:48|--a------|0] - C:\Tech_Vista.log

[19/08/2004 16:50|-ra------|468517] - C:\txtsetup.sif

[24/05/2001 12:59|--a------|162304] - C:\UNWISE.EXE

[01/06/2009 19:02|--a------|4703] - C:\UsbFix.txt

[22/12/2008 16:01|--a------|681] - E:\Raccourci vers connexion.lnk

[06/03/2009 02:06|--ahs----|1737728] - E:\Thumbs.db

 

################## [ Vaccination ]

 

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

 

################## [ Informations # Fichier Suspect ]

 

 

################## [ Cracks # Keygens # Serials ]

 

# -> Nothing found !

 

################## [ ! Fin du rapport # UsbFix V3.027 ! ]

 

 

Par contre, une fois téléchargé, j'arrive toujours pas à ouvrir hijackthis =/ mais maintenant mes icones de disques durs remarchent correctement

[angelique]

» Ouvre le poste de travail

Clic sur le menu outils en haut à droite puis options des dossiers

Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

Coche dans la liste "Afficher les fichiers cachés"

Décoche "masquer les fichier proteger du systeme d exploitation (recommandée)"\appliquer

Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.

Ouvrez le poste de travail et supprime:

 

C:\cleannavi.txt

C:\cleannavi3.txt

C:\sqmdata00.sqm

C:\sqmnoopt00.sqm

C:\sqmnoopt01.sqm

C:\sqmnoopt02.sqm

C:\sqmnoopt03.sqm

C:\StubInstaller.exe <--- Lime Wire c'est pas bien ! ça PuXor , c'est bourré de MP3 vérolés codec.changer

C:\UsbFix.txt

 

» desactive tes autoruns automatiques via la console , executer--> gpedit.msc

 

comme sur la capture:

 

http://imagesup.org/images/1243874367-gpedit.jpg

 

°¨¨°³º¤£(¯`·. ~.ComboFix.~.·´¯)£¤º³°¨¨°

» Télécharge combofix.exe (par sUBs) » et sauvegarde le sur ton bureau , pas ailleurs!!!!!

 

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

http://imagesup.org/images/1238940640-cfdl.jpg

 

http://imagesup.org/images/1240127722-cfsave.jpg

 

 

 

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

 

* Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

°¨¨°³º¤£(¯`·. ~.ComboFix.~.·´¯)£¤º³°¨¨°

[Invité Ludéméter]

j'arrive pas à l'ouvrir non plus, il me demande pour l'exécuter, je mets "executer" et puis rien ne se passe =/

 

sinon c'est normal qu'il me reste un fichier recycler sur mon DDE et qui contient un fichier "S-1-......" ?

 

merci

[angelique]

"j'arrive pas à l'ouvrir non plus, il me demande pour l'exécuter, je mets "executer" et puis rien ne se passe =/:"

Soit plus explicite !!!!! il te demande , te fait quoi??t'as pas à écrire "executer" nul part , suis les instructions rigoureusement .

 

"sinon c'est normal qu'il me reste un fichier recycler sur mon DDE et qui contient un fichier "S-1-......" ?:"

 

oui

 

supprime ComboFix de ton bureau puis essayons en le renommant:

 

.*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

» Télécharge combofix.exe (par sUBs) » renomme le dans la fenetre de telechargement par COlaF , et sauvegarde le sur ton bureau , pas ailleurs!!!!!

 

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

http://imagesup.org/images/1238940640-cfdl.jpg

 

http://imagesup.org/images/1238940687-cfren.jpg

 

 

 

 

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

 

* Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

.*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

[Invité Ludéméter]

Non, au début il afficher une boite de dialogue avec un bouton exécuter, j'avais cliqué dessus mais ça marchais pas.

 

Bon, en le renommant, ça marche :

 

ComboFix 09-05-31.06 - Administrateur 01/06/2009 20:14.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.543 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur.LUDOVIC\Bureau\COlaF.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

AV: ZoneAlarm Security Suite Antivirus *On-access scanning enabled* (Outdated) {5D467B10-818C-4CAB-9FF7-6893B5B8F3CF}

FW: BitDefender Firewall *enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

FW: ZoneAlarm Security Suite Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

* Un antivirus résident est actif

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Administrateur.LUDOVIC\Favoris\videos.url

c:\documents and settings\Administrateur\Favoris\Online Security Test.url

c:\documents and settings\Administrateur\Favoris\videos.url

c:\progra~1\FICHIE~1\{0CFCF~1

c:\progra~1\FICHIE~1\{3CFCF~1

c:\progra~1\FICHIE~1\{3CFCF~1\toolbardll.lzma

c:\windows\a3kebook.ini

c:\windows\adcccf.ini

c:\windows\akebook.ini

c:\windows\ANS2000.INI

c:\windows\fijijl.ini

c:\windows\system32\_000003_.tmp.dll

c:\windows\system32\_000005_.tmp.dll

c:\windows\system32\_000006_.tmp.dll

c:\windows\system32\_000008_.tmp.dll

c:\windows\system32\_000013_.tmp.dll

c:\windows\system32\_004705_.tmp.dll

c:\windows\system32\_004706_.tmp.dll

c:\windows\system32\_004707_.tmp.dll

c:\windows\system32\_004708_.tmp.dll

c:\windows\system32\_004715_.tmp.dll

c:\windows\system32\_004716_.tmp.dll

c:\windows\system32\_004717_.tmp.dll

c:\windows\system32\_004718_.tmp.dll

c:\windows\system32\_004719_.tmp.dll

c:\windows\system32\_004720_.tmp.dll

c:\windows\system32\_004721_.tmp.dll

c:\windows\system32\_004722_.tmp.dll

c:\windows\system32\_004723_.tmp.dll

c:\windows\system32\_004724_.tmp.dll

c:\windows\system32\_004725_.tmp.dll

c:\windows\system32\_004726_.tmp.dll

c:\windows\system32\_004727_.tmp.dll

c:\windows\system32\_004728_.tmp.dll

c:\windows\system32\_004729_.tmp.dll

c:\windows\system32\_004730_.tmp.dll

c:\windows\system32\_004731_.tmp.dll

c:\windows\system32\_004732_.tmp.dll

c:\windows\system32\_004733_.tmp.dll

c:\windows\system32\_004734_.tmp.dll

c:\windows\system32\_004735_.tmp.dll

c:\windows\system32\_004736_.tmp.dll

c:\windows\system32\_004737_.tmp.dll

c:\windows\system32\_004738_.tmp.dll

c:\windows\system32\_004739_.tmp.dll

c:\windows\system32\_004740_.tmp.dll

c:\windows\system32\_004741_.tmp.dll

c:\windows\system32\_004742_.tmp.dll

c:\windows\system32\_004743_.tmp.dll

c:\windows\system32\_004745_.tmp.dll

c:\windows\system32\_004747_.tmp.dll

c:\windows\system32\_004748_.tmp.dll

c:\windows\system32\_004749_.tmp.dll

c:\windows\system32\_004750_.tmp.dll

c:\windows\system32\_004751_.tmp.dll

c:\windows\system32\_004752_.tmp.dll

c:\windows\system32\_004753_.tmp.dll

c:\windows\system32\_004754_.tmp.dll

c:\windows\system32\_004755_.tmp.dll

c:\windows\system32\_004756_.tmp.dll

c:\windows\system32\_004757_.tmp.dll

c:\windows\system32\_004758_.tmp.dll

c:\windows\system32\_004759_.tmp.dll

c:\windows\system32\_004761_.tmp.dll

c:\windows\system32\_004762_.tmp.dll

c:\windows\system32\_004763_.tmp.dll

c:\windows\system32\_004766_.tmp.dll

c:\windows\system32\_004767_.tmp.dll

c:\windows\system32\_004769_.tmp.dll

c:\windows\system32\_004770_.tmp.dll

c:\windows\system32\_004771_.tmp.dll

c:\windows\system32\_004772_.tmp.dll

c:\windows\system32\_004773_.tmp.dll

c:\windows\system32\_004774_.tmp.dll

c:\windows\system32\_004775_.tmp.dll

c:\windows\system32\_004776_.tmp.dll

c:\windows\system32\_004777_.tmp.dll

c:\windows\system32\_004778_.tmp.dll

c:\windows\system32\_004779_.tmp.dll

c:\windows\system32\_004781_.tmp.dll

c:\windows\system32\_004782_.tmp.dll

c:\windows\system32\_004783_.tmp.dll

c:\windows\system32\_004784_.tmp.dll

c:\windows\system32\_004785_.tmp.dll

c:\windows\system32\_004786_.tmp.dll

c:\windows\system32\_004787_.tmp.dll

c:\windows\system32\_004789_.tmp.dll

c:\windows\system32\_004790_.tmp.dll

c:\windows\system32\_004791_.tmp.dll

c:\windows\system32\_004792_.tmp.dll

c:\windows\system32\_004794_.tmp.dll

c:\windows\system32\_004795_.tmp.dll

c:\windows\system32\_004796_.tmp.dll

c:\windows\system32\_004797_.tmp.dll

c:\windows\system32\_004798_.tmp.dll

c:\windows\system32\_004799_.tmp.dll

c:\windows\system32\_004800_.tmp.dll

c:\windows\system32\_004802_.tmp.dll

c:\windows\system32\_004803_.tmp.dll

c:\windows\system32\_004804_.tmp.dll

c:\windows\system32\_004805_.tmp.dll

c:\windows\system32\_004806_.tmp.dll

c:\windows\system32\_004807_.tmp.dll

c:\windows\system32\_004808_.tmp.dll

c:\windows\system32\_004811_.tmp.dll

c:\windows\system32\_004812_.tmp.dll

c:\windows\system32\_004813_.tmp.dll

c:\windows\system32\_004816_.tmp.dll

c:\windows\system32\_004817_.tmp.dll

c:\windows\system32\_004819_.tmp.dll

c:\windows\system32\_004820_.tmp.dll

c:\windows\system32\_004822_.tmp.dll

c:\windows\system32\_004824_.tmp.dll

c:\windows\system32\_004825_.tmp.dll

c:\windows\system32\_004826_.tmp.dll

c:\windows\system32\_004827_.tmp.dll

c:\windows\system32\_004830_.tmp.dll

c:\windows\system32\_004831_.tmp.dll

c:\windows\system32\_004832_.tmp.dll

c:\windows\system32\_004833_.tmp.dll

c:\windows\system32\_004834_.tmp.dll

c:\windows\system32\_004839_.tmp.dll

c:\windows\system32\drivers\gxvxcdcabyuurvdprmerjibojhadhldypuykx.sys

c:\windows\system32\drivers\gxvxcnjusccckourkwucihfueclkmdogfetwk.sys

c:\windows\system32\drivers\gxvxcqxyigiordujxumppotkdskewbojjutet.sys

c:\windows\system32\gxvxcefhddatmieaqhypioatqixsevsbailkd.dll

c:\windows\system32\gxvxckjboqvrioprfplokrtkrklmewkeegwyq.dll

c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_GXVXCSERV.SYS

-------\Legacy_BOONTY_GAMES

-------\Service_Boonty Games

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-01 au 2009-06-01 ))))))))))))))))))))))))))))))))))))

.

 

2009-06-01 18:01 . 2009-06-01 18:59 61472 --sha-w- c:\windows\system32\drivers\fidbox.dat

2009-06-01 17:41 . 2009-06-01 17:41 -------- d--h--w- c:\windows\system32\GroupPolicy

2009-06-01 16:55 . 2009-06-01 16:55 -------- d-----w- C:\HJT

2009-06-01 16:45 . 2009-06-01 17:08 -------- d-----w- C:\UsbFix

2009-06-01 16:05 . 2009-06-01 16:05 1078 ----a-r- c:\documents and settings\Administrateur.LUDOVIC\Application Data\Microsoft\Installer\{76EFAC4F-1712-401F-B2AE-590B170C9BCE}\_60c11ac7.exe

2009-06-01 13:57 . 2009-06-01 13:57 -------- d-----w- c:\windows\system32\logs

2009-06-01 13:57 . 2009-06-01 13:57 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\BitDefender

2009-06-01 13:55 . 2009-06-01 13:56 -------- d-----w- c:\program files\BitDefender

2009-06-01 13:53 . 2009-06-01 13:56 -------- d-----w- c:\program files\Fichiers communs\BitDefender

2009-05-31 17:28 . 2009-05-31 18:35 -------- d-----w- c:\windows\system32\ZoneLabs

2009-05-31 17:28 . 2009-05-31 17:28 -------- d-----w- c:\program files\Zone Labs

2009-05-31 17:28 . 2008-07-09 07:05 1086952 ----a-w- c:\windows\system32\zpeng24.dll

2009-05-31 17:27 . 2009-06-01 18:33 -------- d-----w- c:\windows\Internet Logs

2009-05-31 17:02 . 2009-05-31 17:02 -------- d-----w- c:\documents and settings\LocalService.AUTORITE NT\Menu Démarrer

2009-05-31 17:02 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-05-31 17:02 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-05-31 17:02 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-05-31 17:02 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-05-31 17:02 . 2009-05-31 17:02 -------- d-----w- c:\program files\Avira

2009-05-31 17:02 . 2009-05-31 17:02 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Avira

2009-05-31 12:19 . 2009-05-31 15:13 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\avg8

2009-05-31 12:19 . 2009-05-31 12:19 -------- d-----w- c:\program files\AVG

2009-05-29 09:26 . 2009-05-29 09:26 -------- d-----w- c:\program files\VirtualDubMOD

2009-05-28 22:13 . 2009-05-28 22:13 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Local Settings\Application Data\Broad Intelligence

2009-05-28 21:46 . 2009-05-28 22:03 -------- d-----w- c:\program files\Convert VOB to AVI

2009-05-28 21:12 . 2009-05-28 21:12 -------- d-----w- c:\program files\Womble Multimedia

2009-05-25 18:58 . 2009-05-25 18:58 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\Broad Intelligence

2009-05-25 18:09 . 2009-05-25 18:10 -------- d-----w- c:\program files\Canta

2009-05-25 18:08 . 2009-05-25 18:09 -------- d-----w- c:\program files\MediaCoder

2009-05-06 19:46 . 2009-05-06 19:46 -------- d-----w- c:\program files\Magic Bullet MisFire

2009-05-06 19:46 . 2009-05-06 19:46 -------- d-----w- c:\program files\Magic Bullet Looks

2009-05-06 19:42 . 2005-11-21 02:42 3272704 ----a-w- c:\windows\system32\sapphire_ae.dll

2009-05-06 19:39 . 2009-02-24 16:42 116736 ----a-w- c:\windows\system32\drivers\mcdbus.sys

2009-05-06 19:39 . 2009-05-06 19:39 -------- d-----w- c:\program files\MagicDisc

2009-05-06 16:27 . 2009-06-01 11:25 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\.ABC

2009-05-06 16:26 . 2009-05-06 19:51 -------- d-----w- c:\program files\ABC

2009-05-04 22:47 . 2009-05-04 22:48 -------- d-----w- c:\program files\Digieffects

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-01 18:31 . 2007-01-17 12:38 81984 ----a-w- c:\windows\system32\bdod.bin

2009-06-01 18:31 . 2009-06-01 18:01 1652 --sha-w- c:\windows\system32\drivers\fidbox.idx

2009-06-01 16:05 . 2007-01-17 12:47 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy

2009-06-01 14:12 . 2007-01-09 16:47 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-06-01 14:00 . 2007-09-14 12:24 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\BitDefender

2009-06-01 11:10 . 2009-06-01 11:12 1367552 ----a-w- c:\windows\Internet Logs\xDB2.tmp

2009-05-31 18:27 . 2009-05-31 17:29 4212 ---h--w- c:\windows\system32\zllictbl.dat

2009-05-31 18:05 . 2009-05-31 18:07 81920 ----a-w- c:\windows\Internet Logs\xDB1.tmp

2009-05-31 17:50 . 2007-01-27 08:07 -------- d-----w- c:\program files\Lavasoft

2009-05-31 17:50 . 2007-01-27 08:07 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\Lavasoft

2009-05-31 17:29 . 2009-05-31 17:29 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\MailFrontier

2009-05-30 20:36 . 2007-08-28 13:37 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\dvdcss

2009-05-30 17:33 . 2006-10-18 11:02 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-05-30 14:28 . 2007-07-02 17:03 -------- d-----w- c:\program files\eMule

2009-05-30 14:26 . 2009-04-28 22:20 -------- d-----w- c:\program files\Combined Community Codec Pack

2009-05-29 11:45 . 2007-11-04 11:29 -------- d-----w- c:\program files\Free Easy Burner

2009-05-25 21:56 . 2004-08-05 12:00 85696 ----a-w- c:\windows\system32\perfc00C.dat

2009-05-25 21:56 . 2004-08-05 12:00 513492 ----a-w- c:\windows\system32\perfh00C.dat

2009-05-25 21:56 . 2008-02-19 17:14 61060 ----a-w- c:\windows\system32\perfc040.dat

2009-05-25 21:56 . 2008-02-19 17:14 438940 ----a-w- c:\windows\system32\perfh040.dat

2009-05-10 11:27 . 2007-01-16 17:46 65584 ----a-w- c:\documents and settings\Administrateur.LUDOVIC\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-06 19:46 . 2009-05-06 19:46 6902 ----a-w- c:\program files\mbsuite20.log

2009-04-28 15:09 . 2009-04-28 15:09 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\Artisteer

2009-04-23 19:28 . 2009-04-23 19:28 -------- d-----w- c:\program files\GenArts

2009-04-14 00:02 . 2009-04-14 00:02 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2009-04-14 00:00 . 2009-04-14 00:00 -------- d-----w- c:\program files\FilmFX

2009-04-13 23:12 . 2008-12-28 13:00 -------- d-----w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\Download Manager

2009-04-10 17:01 . 2009-04-10 17:01 -------- d-----w- c:\program files\MSXML 6.0

2009-04-09 09:50 . 2009-04-09 09:50 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\FLEXnet

2009-04-09 09:29 . 2006-10-21 10:02 -------- d-----w- c:\program files\Fichiers communs\Adobe

2009-04-09 09:22 . 2009-04-09 09:22 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR

2009-04-09 09:07 . 2009-04-09 09:07 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared

2009-04-08 14:28 . 2009-04-08 14:27 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2009-04-08 14:27 . 2009-04-08 14:27 -------- d-----w- c:\program files\iPod

2009-04-08 14:27 . 2008-11-08 22:06 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-04-08 14:10 . 2009-04-08 14:10 75048 ----a-w- c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe

2009-04-04 13:48 . 2007-01-26 19:17 -------- d-----w- c:\program files\DivX

2009-04-04 13:47 . 2009-04-04 13:46 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2009-03-30 18:01 . 2009-04-28 22:30 84480 ----a-w- c:\windows\system32\ff_vfw.dll

2009-03-30 18:01 . 2009-04-28 22:30 60273 ----a-w- c:\windows\system32\pthreadGC2.dll

2009-03-23 15:56 . 2007-10-14 13:47 1 ----a-w- c:\documents and settings\Administrateur.LUDOVIC\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w- c:\documents and settings\All Users.WINDOWS\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys

2009-03-19 14:32 . 2008-11-08 21:30 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys

2009-03-06 14:46 . 2009-01-19 00:06 286208 ----a-w- c:\windows\system32\pdh.dll

2009-03-05 22:59 . 2009-03-18 06:16 1900544 ----a-w- c:\windows\system32\usbaaplrc.dll

2009-03-05 22:59 . 2008-11-08 22:08 36864 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-03-05 10:13 . 2009-03-05 10:13 187143 ----a-w- c:\windows\hpoins29.dat

2003-11-03 15:07 . 2004-04-23 15:06 499712 ----a-w- c:\program files\msvcp71.dll

2003-11-03 15:07 . 2004-04-23 15:06 348160 ----a-w- c:\program files\msvcr71.dll

2003-05-30 07:22 . 2003-09-08 07:09 344064 ----a-r- c:\program files\msvcr70.dll

2002-01-05 01:40 . 2003-09-08 07:09 487424 ----a-w- c:\program files\msvcp70.dll

2009-03-05 16:08 . 2009-06-01 14:02 49664 ----a-w- c:\program files\mozilla firefox\components\FFComm.dll

2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll

2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-11-24 94208]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BDOESRV"="c:\program files\Softwin\BitDefender9\bdoesrv.exe" [2005-03-11 90112]

"BDSwitchAgent"="c:\progra~1\softwin\bitdef~1\bdswitch.exe" [2005-03-11 33280]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-03-10 185784]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HydraVisionDesktopManager"="c:\program files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe" [2003-09-15 270336]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-05 177472]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2009-04-08 778240]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-04-17 16143872]

"Run StartupMonitor"="StartupMonitor.exe" - c:\windows\StartupMonitor.exe [2000-05-20 86016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-21 110592]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ContactKeeper Birthday reminder"="e:\programmes\ContactKeeper\ContactKeeper.exe" /Reminder

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"RaidTool"=c:\program files\VIA\RAID\raid_tool.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\FileZilla\\FileZilla.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program Files\\EA GAMES\\Nightfire\\Bond.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImLc.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=

"e:\\Programmes\\IziSpot\\IziSpot.exe"=

"e:\\Programmes\\CivCity Rome\\CivCity Rome.exe"=

"e:\\Programes\\iTunes\\iTunes.exe"=

"c:\\Program Files\\ABC\\abc.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015

"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016

"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [31/05/2009 19:02 108289]

R2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [06/10/2008 18:16 82696]

R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [19/01/2009 02:06 14336]

R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [18/09/2008 12:09 111112]

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [12/02/2009 16:52 104328]

S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender9\filespy.sys --> c:\program files\Softwin\BitDefender9\filespy.sys [?]

S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [20/01/2009 19:16 172032]

S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]

S3 lgusbsmodem;LGE Mobile USB Modem;c:\windows\system32\DRIVERS\lgusbsmodem.sys --> c:\windows\system32\DRIVERS\lgusbsmodem.sys [?]

S3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys --> c:\windows\system32\DRIVERS\UltraMonMirror.sys [?]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

.

Contenu du dossier 'Tâches planifiées'

 

2008-11-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-05-26 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-04-09 20:18]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-Buze-1 - Buze-1.dll

Notify-CONpat - CONpat.dll

Notify-dimsntfy - (no file)

Notify-insECD - insECD.dll

Notify-l3cntl - l3cntl.dll

Notify-mfctem - mfctem.dll

SafeBoot-procexp90.Sys

 

 

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Télécharger avec NetTransport - e:\programmes\NetTransport 2\NTAddLink.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Tout t&élécharger avec NetTransport - e:\programmes\NetTransport 2\NTAddList.html

Trusted Zone: localhost

FF - ProfilePath - c:\documents and settings\Administrateur.LUDOVIC\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\

FF - prefs.js: browser.startup.homepage - hxxp://ludemeter.skyrock.com/

FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npicdclient.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPnsv_vp3_mp3.dll

FF - plugin: c:\windows\system32\Rawflow\npicdclient.dll

FF - plugin: e:\programes\iTunes\Mozilla Plugins\npitunes.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-01 20:54

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\windows\system32\bda21.tmp

 

Scan terminé avec succès

Fichiers cachés: 1

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,94,3e,43,56,6b,

45,f3,db,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,8d,e3,6e,a9,6b,

3f,37,2f,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,db,e3,22,54,0b,

e4,47,85,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,0e,be,15,81,e7,

f5,6e,fa,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,e5,bc,84,a0,33,

c7,98,06,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,60,f2,49,03,42,

bb,d3,08,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,61,f9,3d,bf,0b,

78,e7,dc,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]

"Version"=hex:74,a0,78,c5,10,f7,7b,ee,26,7a,04,2e,ba,c1,89,7d,24,7b,84,79,d7,

0e,fb,24,5f,32,06,4f,d1,9e,2c,cc,84,89,5f,1e,ef,38,54,58,24,f9,35,b7,b9,18,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,10,29,ec,9a,e6,

4c,3c,b7,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,2e,65,f3,03,42,

a7,40,3b,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,72,be,2d,6b,43,

e7,42,f4,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,92,d5,64,16,c9,

97,fb,f4,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,e3,08,04,be,c4,

10,2d,93,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\

 

[HKEY_LOCAL_MACHINE\software\GenArts\Sapphire AE\Install-{4E41A485-04D4-CF7C-6CE3-27F7BEAE7048}\Data*]

@DACL=

"CTE_32 Name"="340324:{C3B8A1BC-8B18-94D5-AD04-2B3354994626}"

 

[HKEY_LOCAL_MACHINE\software\GenArts\Sapphire AE\Install-{EC3F6705-85EF-4FB1-4E30-80781324E273}\Data*]

@DACL=

"DefaultSettings"="99:{C6DDA450-F687-55DF-CA23-1A5083308C5D}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\DirectInput\Compatibility\CLIENT2._EXE35FEFABD00088200*]

@DACL=

"MaxDeviceNameLen"="0b-\0fe3\180000#ý,493d\\"

"NoPollSucceed"="{01F5E74B-0338-918F-6E8F-1DC0015E13B1}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install*Loc\VxDs]

@DACL=

"CTE_32 Name"="2454958:{301564B2-67A6-1A66-9C4E-A1FE91DE9752}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Current Version\{ADD916B7-3238-B642-38AC-F31A4E6EE8C3}\Install*Loc\VxDs]

@DACL=

"DefaultSettings"="-18:{3C7DA433-1047-9FC4-00BA-978A09424856}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Install*Loc\xga-1-{042AE6EA-59B2-2ADD-077F-16EF9FD7FE77}\Version 1.1]

@DACL=

"dat"="806585365:{7467BBFA-A63F-0869-37F3-593EE6CB4DE6}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\z*\{{05FF8CB8-4942-FCF6-301D-6930181DE865}}]

@DACL=

"DefaultSettings"="2454979:{37C8840C-72FD-B1F6-4FC1-23A6EF5B6255}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\{6EFCCB8D-2E7A-09E2-BC30-84FCB4A661BD}*\Install*Loc\xga-1\dat]

@DACL=

"default"="516231637:{EAE81F09-355E-808D-AD96-CE41C3EB6C61}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\{6EFCCB8D-2E7A-09E2-BC30-84FCB4A661BD}*\Install*Loc\xga-3\dat]

@DACL=

"default"="518022161:{5FE7C739-C232-2CA9-3B90-173D24017962}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows Install VBX*\Current*Version\Install*Loc\xga-1-{042AE6EA-59B2-2ADD-077F-16EF9FD7FE77}\Version 3.x]

@DACL=

"dat"="1767914624:{78ED8664-8143-6A0E-5C81-09DD507C71F2}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll*]

@DACL=

"AplicationGoo"="0bÄ\14f088fb6?¤¨4ac1!"

"ChkAppHelp"="{08BD582C-5B6F-D09E-7A35-D23D3F82C8A6}"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\WinXGA*\Providers*\{B3560561-5A25-C2C1-C99D-E182800CCC83}\Current*Set\xga-1\ver]

@DACL=

"KnownSvcs"="923715370:{3E763C65-9DA2-EBF0-81AF-1F09EF06C8B6}"

 

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]

"Version"=hex:74,a0,78,c5,10,f7,7b,ee,26,7a,04,2e,ba,c1,89,7d,24,7b,84,79,d7,

0e,fb,24,5f,32,06,4f,d1,9e,2c,cc,70,46,55,c9,c1,f8,f6,44,24,f9,35,b7,b9,18,\

 

[HKEY_LOCAL_MACHINE\software\XBMga*\UUIDs\{91588015-AB9A-DD83-A718-460BDF5B0795}\xga-1\Install*Loc]

@DACL=

"{19620715-0001-1211-574574-30001}"="234522366:{1221D523-2DA2-A130-23E3-CDABB4F3FC15}"

 

[HKEY_LOCAL_MACHINE\software\xGenArts\Sapphire AE\DLL ver*\{A6D90D08-68DD-2B46-E2AC-5782669B2696}]

@DACL=

"CTE_32 Name"="2:{19C42D30-D844-8A07-12A4-E783E7D228F7}"

 

[HKEY_LOCAL_MACHINE\software\xGenArts\Sapphire AE\DLL ver*\{B08ECCAD-FEC0-A273-8DFD-B47BE795EE25}]

@DACL=

"DefaultSettings"="18:{5351C505-4E6C-6ECA-E5BD-7AE84A571B0A}"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(1332)

c:\windows\system32\Ati2evxx.dll

 

- - - - - - - > 'explorer.exe'(3200)

c:\program files\ATI Technologies\ATI HYDRAVISION\HydraDMH.dll

c:\program files\Windows Media Player\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\BitDefender\BitDefender 2009\vsserv.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\windows\system32\ZoneLabs\vsmon.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\BitDefender\BitDefender 2009\seccenter.exe

c:\program files\Windows Live\Contacts\wlcomm.exe

.

**************************************************************************

.

Heure de fin: 2009-06-01 21:17 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-06-01 19:17

 

Avant-CF: 4 083 175 424 octets libres

Après-CF: 6 244 925 440 octets libres

 

520 --- E O F --- 2009-05-26 17:00

[angelique]

• desinstalle Bitdefender pour ne garder que antivir et ZA et passe leur remover: http://www.bitdefender.com/files/Knowledge...nstall_Tool.EXE

 

 

 

• Télécharge OTMoveIt3 de OldTimer

http://oldtimer.geekstogo.com/OTMoveIt3.exe

http://oldtimer.geekstogo.com/OTM.exe

 

* Enregistre-le sur ton bureau

* Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître)

* Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) :

 

 

:processes
explorer.exe

:files
c:\windows\Internet Logs\xDB2.tmp
c:\windows\Internet Logs\xDB1.tmp
c:\windows\Tasks\WGASetup.job
c:\windows\system32\KB905474

:reg
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-

:commands
[emptytemp]

 

 

 

 

* Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage.

* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

--> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)

 

 

• assure toi qu'antivir est à jour et configuré , les cases cochées comme sur cette Video:

http://www.malekal.com/fichiers/antivir/Co...onAntivirV9.avi

 

» effectue un scan et poste le rapport

Ignore la détection sur COlaF.exe

[Invité Ludéméter]

Le rapport d'OTMoveIt3 :

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

c:\windows\Internet Logs\xDB2.tmp moved successfully.

c:\windows\Internet Logs\xDB1.tmp moved successfully.

c:\windows\Tasks\WGASetup.job moved successfully.

c:\windows\system32\KB905474 moved successfully.

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall\\"DisableMonitoring"|dword:00000000 /E : value set successfully!

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\IconStreams deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\PastIconsStream deleted successfully.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\ADMINI~1.LUD\LOCALS~1\Temp\etilqs_dv96vGuByT2IeVSKFEPr scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\ADMINI~1.LUD\LOCALS~1\Temp\~DFE0DC.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\ZLT004b7.TMP scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\ZLT004bb.TMP scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\XUL.mfl scheduled to be deleted on reboot.

FireFox cache emptied.

Temp folders emptied.

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 06062009_173840

 

Files moved on Reboot...

File C:\DOCUME~1\ADMINI~1.LUD\LOCALS~1\Temp\etilqs_dv96vGuByT2IeVSKFEPr not found!

C:\DOCUME~1\ADMINI~1.LUD\LOCALS~1\Temp\~DFE0DC.tmp moved successfully.

File C:\WINDOWS\temp\ZLT004b7.TMP not found!

File C:\WINDOWS\temp\ZLT004bb.TMP not found!

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_001_ moved successfully.

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_002_ moved successfully.

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_003_ moved successfully.

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\Cache\_CACHE_MAP_ moved successfully.

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\urlclassifier3.sqlite moved successfully.

C:\Documents and Settings\Administrateur.LUDOVIC\Local Settings\Application Data\Mozilla\Firefox\Profiles\lntidpnh.default\XUL.mfl moved successfully.

 

 

 

Le rapport d'antivir :

 

Avira AntiVir Personal

Date de création du fichier de rapport : samedi 6 juin 2009 18:02

 

La recherche porte sur 1456029 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : Administrateur

Nom de l'ordinateur : LUDOVIC

 

Informations de version :

BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00

AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:33:26

ANTIVIR2.VDF : 7.1.4.38 2692096 Bytes 29/05/2009 17:05:44

ANTIVIR3.VDF : 7.1.4.64 218112 Bytes 06/06/2009 15:51:05

Version du moteur : 8.2.0.180

AEVDF.DLL : 8.1.1.1 106868 Bytes 31/05/2009 17:06:03

AESCRIPT.DLL : 8.1.2.0 389497 Bytes 31/05/2009 17:06:02

AESCN.DLL : 8.1.2.3 127347 Bytes 31/05/2009 17:06:00

AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 17:24:41

AEPACK.DLL : 8.1.3.18 401783 Bytes 31/05/2009 17:05:59

AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 19:01:56

AEHEUR.DLL : 8.1.0.129 1761655 Bytes 31/05/2009 17:05:57

AEHELP.DLL : 8.1.2.2 119158 Bytes 26/02/2009 19:01:56

AEGEN.DLL : 8.1.1.44 348532 Bytes 31/05/2009 17:05:48

AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40

AECORE.DLL : 8.1.6.12 180599 Bytes 31/05/2009 17:05:46

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Sélection manuelle

Fichier de configuration......................: C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, E:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Recherche optimisée...........................: marche

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Types d'archives divergents...................: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Début de la recherche : samedi 6 juin 2009 18:02

 

La recherche d'objets cachés commence.

'83770' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'DESPER~1.SCR' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'NMBgMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'StartupMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'zlclient.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HydraDM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'vsmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'InCDsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'33' processus ont été contrôlés avec '33' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '50' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Qoobox\Quarantine\C\WINDOWS\system32\gxvxcefhddatmieaqhypioatqixsevsbailkd.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Alureon.BU

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa0b719.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\gxvxckjboqvrioprfplokrtkrklmewkeegwyq.dll.vir

[RESULTAT] Contient le cheval de Troie TR/Obfuscator.ER

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa0b71e.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\gxvxcdcabyuurvdprmerjibojhadhldypuykx.sys.vir

[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.abc.1

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa0b71c.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\gxvxcnjusccckourkwucihfueclkmdogfetwk.sys.vir

[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.48128

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa0b722.qua' !

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\gxvxcqxyigiordujxumppotkdskewbojjutet.sys.vir

[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.abc.1

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa0b720.qua' !

Recherche débutant dans 'E:\' <Disque dur EXTERNE>

E:\P2P\BitDefender Total Security 2009 v12.0.10+Keygen-HeartBug\Keygen\Keygen.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa3c0ae.qua' !

--> Object

[RESULTAT] Contient le cheval de Troie TR/Qhosts.HF

 

 

Fin de la recherche : samedi 6 juin 2009 21:44

Temps nécessaire: 3:41:07 Heure(s)

 

La recherche a été effectuée intégralement

 

24034 Les répertoires ont été contrôlés

934734 Des fichiers ont été contrôlés

6 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

6 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

934727 Fichiers non infectés

18794 Les archives ont été contrôlées

1 Avertissements

7 Consignes

83770 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

 

 

PS : ce scan a été arrêté involontairement =/ (j'avais appuyé sur espace sans faire exprès pour enlever mon écran de veille), donc j'ai recommencer un scan, et il n'y avait plus de virus, ce qui signifient qu'il ne reste que ceux en quarantaine, mercii

[angelique]

•

E:\P2P\BitDefender Total Security 2009 v12.0.10+Keygen-HeartBug\Keygen\Keygen.exe

 

bah! si en plus tu telecharges via P2P des solutions de securité cracké et vérolé , mais ou va t_on \o/

 

Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes.

Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection avec les craks/keygens,musiques,videos infectés etc...! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)?

 

• supprime C:\ _OTMoveIt

 

• .*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

• naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html

 

http://imagesup.org/images/1237009714-jsff.jpg

 

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

 

http://imagesup.org/images/1237009855-clrff.jpg

 

• Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

• desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

 

ComboFix /u

 

supprime son dossier restant apres disparition de l'icone de combofix de ton bureau en c:\COlaF

 

 

Sauvegarde de la ruche systeme

 

Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261

http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164

 

• telecharge ERUNT (ERDNT):

http://www.derfisch.de/lars/erunt.zip

http://www.aumha.org/downloads/erunt.zip

http://dundats.mvps.org/Files/erunt.zip

 

et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier de ComboFix vide apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture:

 

http://imagesup.org/images/1240900435-erdnt1.jpg

 

* clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok.

 

http://imagesup.org/images/1240900561-erdnt2.jpg