UACD.sys

[angelique]

est ce que tu as fait le fichier .bat comme expliqué là ? :

 

http://forum.zebulon.fr/uacdsys-t165388.ht...49#entry1400549

[filou98]

oui, je l'avais fait hier. Est-ce que je dois le refaire?

[angelique]

nop!

 

Bon comme ça alors

 

*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

» Télécharge combofix.exe (par sUBs) » et sauvegarde le sur ton bureau , pas ailleurs!!!!!

 

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

 

http://imagesup.org/images/1238940640-cfdl.jpg

http://imagesup.org/images/1240127722-cfsave.jpg

 

 

 

Les Antivirus couinent sur ComboFix (Nircmd ...n.pif...), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

 

* Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

.*´¨ )

,.•´¸.•*¨) ¸.•*¨)

 

» si ComboFix ne se lançe pas tu le rename dans la fenetre de telechargement par 123456 (COlaF) dans l'exemple :

 

http://imagesup.org/images/1238940640-cfdl.jpg

 

http://imagesup.org/images/1238940687-cfren.jpg

[filou98]

ComboFix 09-07-14.08 - Client 2009-07-15 14:06.1.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.2039.1585 [GMT -4:00]

Running from: c:\documents and settings\Client\Bureau\Colaf.exe

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\cleanup.exe

c:\documents and settings\Client\Application Data\inst.exe

c:\windows\Installer\76f57.msi

c:\windows\system32\drivers\hjgruindguhrhx.sys

c:\windows\system32\drivers\UACvdbaiqumupqlaswwx.sys

c:\windows\system32\hjgruieppsesby.dll

c:\windows\system32\hjgruilog.dat

c:\windows\system32\hjgruilsmcnobp.dat

c:\windows\system32\hjgruiwpktakdu.dat

c:\windows\system32\hjgruiybjepsub.dll

c:\windows\system32\UACbgrmsxprbbjjjqqkt.dll

c:\windows\system32\UACdhcvmltiyrbwskmcb.dll

c:\windows\system32\uacinit.dll

c:\windows\system32\UACiqxygtuqwrwcoaqbe.dll

c:\windows\system32\UACivojomkohyrodecwh.dat

c:\windows\system32\UACjftflioivbofkecak.db

c:\windows\system32\uactmp.db

c:\windows\system32\UACudlyenkhdtrcpytgj.dll

c:\windows\system32\UACyqluynmjjxvkdubyj.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_hjgruimxdovhxo

-------\Service_UACd.sys

-------\Legacy_BOONTY_GAMES

-------\Service_Boonty Games

 

 

((((((((((((((((((((((((( Files Created from 2009-06-15 to 2009-07-15 )))))))))))))))))))))))))))))))

.

 

2009-07-13 16:31 . 2009-07-15 13:52 -------- d-----w- C:\Gamer

2009-07-12 23:48 . 2009-03-24 20:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-07-12 23:11 . 2009-07-12 23:11 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\AVG Security Toolbar

2009-07-12 23:11 . 2009-07-12 23:11 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Mozilla

2009-07-12 23:02 . 2009-07-12 23:02 -------- d-----w- c:\program files\Trend Micro

2009-07-12 17:10 . 2009-07-14 17:47 -------- d---a-w- c:\docume~1\ALLUSE~1\APPLIC~1\TEMP

2009-07-12 02:41 . 2009-07-12 02:41 -------- d-----w- c:\documents and settings\Client\Application Data\Malwarebytes

2009-07-12 02:36 . 2009-07-12 02:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-07-12 02:19 . 2009-06-17 15:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-12 02:19 . 2009-07-12 02:37 -------- d-----w- c:\program files\fuckyou

2009-07-12 02:19 . 2009-07-12 02:19 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes

2009-07-12 02:19 . 2009-06-17 15:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-12 02:00 . 2009-07-12 02:00 0 ----a-w- C:\backup.reg

2009-07-12 02:00 . 2009-07-12 02:00 574 ----a-w- C:\cleanup.bat

2009-07-12 02:00 . 2009-07-12 02:00 135168 ----a-w- C:\zip.exe

2009-07-11 23:04 . 2009-07-11 23:04 -------- d-----w- c:\program files\ESET

2009-07-10 03:59 . 2008-04-14 01:33 21504 ----a-w- c:\windows\system32\drivers\hidserv.dll

2009-07-07 02:25 . 2009-07-07 02:25 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\HP Product Assistant

2009-07-02 21:20 . 2009-07-02 21:20 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2009-06-29 13:47 . 2009-06-29 14:07 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Google Updater

2009-06-27 00:16 . 2009-06-27 00:16 -------- d-----w- c:\documents and settings\Client\Local Settings\Application Data\AVG Security Toolbar

2009-06-27 00:16 . 2009-07-11 20:11 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\AVG Security Toolbar

2009-06-27 00:16 . 2009-06-27 00:16 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2009-06-27 00:16 . 2009-06-27 00:16 -------- d-----w- c:\documents and settings\LocalService\Application Data\AVGTOOLBAR

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-12 02:23 . 2008-05-29 00:10 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\avg8

2009-07-11 20:16 . 2008-05-30 00:30 -------- d-----w- c:\documents and settings\Client\Application Data\uTorrent

2009-07-11 03:12 . 2008-05-29 00:10 335752 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-07-10 04:00 . 2009-07-10 04:00 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf

2009-07-10 04:00 . 2009-07-10 04:00 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2009-07-07 19:00 . 2008-06-02 05:39 -------- d-----w- c:\documents and settings\Client\Application Data\Vso

2009-07-07 02:29 . 2008-04-25 00:10 -------- d-----w- c:\program files\HP

2009-07-07 02:24 . 2009-05-25 08:34 -------- d-----w- c:\documents and settings\Client\Application Data\Image Zone Express

2009-07-07 02:11 . 2005-01-24 14:30 139264 ----a-w- c:\windows\system32\hpzjrd01.dll

2009-06-29 13:53 . 2008-05-30 00:48 -------- d-----w- c:\program files\Google

2009-06-27 00:16 . 2008-05-29 00:10 11952 ----a-w- c:\windows\system32\avgrsstx.dll

2009-06-27 00:16 . 2008-04-24 01:32 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-06-23 02:23 . 2008-05-30 00:49 -------- d-----w- c:\documents and settings\Client\Application Data\LimeWire

2009-06-15 17:37 . 2008-07-27 03:08 -------- d-----w- c:\documents and settings\Client\Application Data\OpenOffice.org2

2009-06-07 23:26 . 2009-01-10 21:21 -------- d-----w- c:\program files\DivX

2009-06-07 23:25 . 2009-06-07 23:25 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2009-05-27 01:34 . 2009-05-27 01:34 249856 ------w- c:\windows\Setup1.exe

2009-05-27 01:34 . 2009-05-27 01:34 73216 ----a-w- c:\windows\ST6UNST.EXE

2009-05-18 17:51 . 2008-05-29 00:10 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2009-05-17 22:52 . 2008-08-20 13:55 -------- d-----w- c:\documents and settings\Client\Application Data\dvdcss

2009-05-17 20:10 . 2009-03-21 21:31 -------- d-----w- c:\program files\Hasbro Interactive

2009-05-09 05:14 . 2009-05-09 05:14 1418120 ----a-w- c:\windows\system32\wdfcoinstaller01005.dll

2009-05-09 05:14 . 2009-05-09 05:14 14736 ----a-w- c:\windows\system32\drivers\nuidfltr.sys

2009-05-07 15:33 . 2004-08-04 04:54 348672 ----a-w- c:\windows\system32\localspl.dll

2009-05-07 01:53 . 2008-04-25 00:09 73728 ----a-w- c:\documents and settings\Client\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-07 00:34 . 2009-05-07 00:20 113616 ----a-w- c:\windows\hpoins07.dat

2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll

2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll

2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll

2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll

2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll

2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll

2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll

2009-04-29 04:45 . 2004-08-04 04:54 827392 ----a-w- c:\windows\system32\wininet.dll

2009-04-29 04:45 . 2004-08-04 04:54 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-04-19 19:50 . 2004-08-04 04:45 1847296 ----a-w- c:\windows\system32\win32k.sys

2009-04-17 23:58 . 2002-09-07 00:00 468402 ----a-w- c:\windows\system32\perfh00C.dat

2009-04-17 23:58 . 2002-09-07 00:00 75470 ----a-w- c:\windows\system32\perfc00C.dat

2005-04-01 02:17 . 2008-04-24 17:56 40960 ----a-w- c:\program files\Uninstall_CDS.exe

1999-04-06 18:27 . 1999-04-06 18:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL

1998-12-09 08:53 . 1998-12-09 08:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL

1998-12-09 08:53 . 1998-12-09 08:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL

1998-12-09 08:53 . 1998-12-09 08:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL

1998-12-09 08:53 . 1998-12-09 08:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL

1998-12-09 08:53 . 1998-12-09 08:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL

2009-06-13 01:03 . 2008-12-14 22:49 134648 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll

2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-14 1004800]

 

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

2009-06-14 20:07 1004800 ----a-w- c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-14 1004800]

 

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-14 1004800]

 

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-19 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]

"type32"="c:\program files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-06-27 1948440]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-15 16270848]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-17 2879488]

 

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-06-27 00:16 11952 ----a-w- c:\windows\system32\avgrsstx.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bitmeter2.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Bitmeter2.lnk

backup=c:\windows\pss\Bitmeter2.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk

backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Hyperappel du Petit Larousse 2009.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Hyperappel du Petit Larousse 2009.lnk

backup=c:\windows\pss\Hyperappel du Petit Larousse 2009.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk

backup=c:\windows\pss\Logiciel Kodak EasyShare.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Client^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]

path=c:\documents and settings\Client\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk

backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"56606:TCP"= 56606:TCP:Pando P2P TCP Listening Port

"56606:UDP"= 56606:UDP:Pando P2P UDP Listening Port

 

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-05-28 335752]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-05-28 108552]

R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-07-04 907032]

R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-07-04 298776]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-04-23 35840]

S2 eqzynby;eqzynby;c:\windows\system32\drivers\ibbntxoa.sys --> c:\windows\system32\drivers\ibbntxoa.sys [?]

S2 gupdate1c9e7c7479df654;Service Google Update (gupdate1c9e7c7479df654);c:\program files\Google\Update\GoogleUpdate.exe [2009-06-07 133104]

S2 hwvtwijt;hwvtwijt;c:\windows\system32\drivers\aztov.sys --> c:\windows\system32\drivers\aztov.sys [?]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.ca/

FF - ProfilePath - c:\docume~1\Client\APPLIC~1\Mozilla\Firefox\Profiles\eegb5q2m.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1757849&SearchSource=3&q=

FF - prefs.js: browser.search.selectedEngine - torrent411 Customized Web Search

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1757849&SearchSource=2&q=

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll

FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-15 14:18

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(2460)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Ahead\InCD\InCDsrv.exe

c:\program files\AVG\AVG8\avgrsx.exe

c:\windows\system32\HPZipm12.exe

c:\progra~1\AVG\AVG8\avgnsx.exe

c:\program files\AVG\AVG8\avgcsrvx.exe

c:\windows\system32\wscntfy.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Completion time: 2009-07-15 14:23 - machine was rebooted

ComboFix-quarantined-files.txt 2009-07-15 18:22

 

Pre-Run: 92 026 601 472 octets libres

Post-Run: 92 174 659 584 octets libres

 

257 --- E O F --- 2009-07-10 04:02

[filou98]

Je ne sais pas si ça dit quelque chose à propos du virus, mais lorsque Combo fix s'exécutait, suite à un redémarrage, mon fond d'écran a changé, et c'est un vieux fond d'écran de Noel qui s'est réinstallé tout seul...

[angelique]

• tu remet le fond d'ecran que tu veux

 

• • analyse C:\zip.exe

 

là : http://www.virustotal.com/

 

si ça pu , tu vires.

 

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
eqzynby
hwvtwijt
SkipFix::

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

* suis les instructions

* Patiente le temps du scan.ça va etre plus rapide que les autres , poste le rapport si tu veux puis :

 

.*´¨ )

,.•´¸.•*¨) ¸.•*¨)

(¸.•´ : (¸.•´ : (´¸.•*´¯`*•

Finir le nettoyage :

- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

 

telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

Patiente le temp du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.

 

• naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html

 

Les captures ci dessous sont réalisés depuis la 3.0.11 de FireFox , avec la 3.5 le principe reste le meme malgré que l'interface à cette endroit est qulque peu differente.

 

http://imagesup.org/images/1237009714-jsff.jpg

 

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

 

http://imagesup.org/images/1237009855-clrff.jpg

 

• Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

 

- Désactive puis réactive la restauration du système :

- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

 

• desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide:

 

ComboFix /u

 

supprime son dossier restant apres disparition de l'icone de combofix de ton bureau en c:\ColaF

 

Sauvegarde de la ruche systeme

 

Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: http://www.malekal.com/console_recuperatio...#mozTocId862261

http://www.malekal.com/tutorial_ERUNT.php#mozTocId955164

 

• telecharge ERUNT (ERDNT):

http://www.derfisch.de/lars/erunt.zip

http://www.aumha.org/downloads/erunt.zip

http://dundats.mvps.org/Files/erunt.zip

 

et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , un ancien dossier cré par ComboFix vide apres désinstallation est toujours présent à cet endroit,tu le remplaces par le nouveau que tu viens de dezipper, puis double clic sur ERUNT comme sur la capture:

 

http://imagesup.org/images/1240900435-erdnt1.jpg

 

* clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être crée, clic ok.

 

http://imagesup.org/images/1240900561-erdnt2.jpg

 

*la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait en c:\windows\ERDNT

 

http://imagesup.org/images/1240900791-erdnt3.jpg

 

*ferme une fois terminé la fenêtre.

.*´¨ )

[filou98]

J'espère que tout est correct. J'ai fait tout ce que vous m'avez conseillé, et mon ordi semble fonctionner comme un neuf.

 

Un énorme merci pour votre aide.

 

 

ComboFix 09-07-14.08 - Client 2009-07-16 19:23.2.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.2039.1536 [GMT -4:00]

Running from: c:\documents and settings\Client\Bureau\Colaf.exe

Command switches used :: c:\documents and settings\Client\Bureau\cfscript.txt

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

- REDUCED FUNCTIONALITY MODE -

.

 

((((((((((((((((((((((((( Files Created from 2009-06-16 to 2009-07-16 )))))))))))))))))))))))))))))))

.

 

2009-07-13 16:31 . 2009-07-15 13:52 -------- d-----w- C:\Gamer

2009-07-12 23:48 . 2009-03-24 20:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-07-12 23:11 . 2009-07-12 23:11 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\AVG Security Toolbar

2009-07-12 23:11 . 2009-07-12 23:11 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Mozilla

2009-07-12 23:02 . 2009-07-12 23:02 -------- d-----w- c:\program files\Trend Micro

2009-07-12 17:10 . 2009-07-14 17:47 -------- d---a-w- c:\docume~1\ALLUSE~1\APPLIC~1\TEMP

2009-07-12 02:41 . 2009-07-12 02:41 -------- d-----w- c:\documents and settings\Client\Application Data\Malwarebytes

2009-07-12 02:36 . 2009-07-12 02:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-07-12 02:19 . 2009-06-17 15:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-12 02:19 . 2009-07-12 02:37 -------- d-----w- c:\program files\fuckyou

2009-07-12 02:19 . 2009-07-12 02:19 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes

2009-07-12 02:19 . 2009-06-17 15:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-12 02:00 . 2009-07-12 02:00 0 ----a-w- C:\backup.reg

2009-07-12 02:00 . 2009-07-12 02:00 574 ----a-w- C:\cleanup.bat

2009-07-12 02:00 . 2009-07-12 02:00 135168 ----a-w- C:\zip.exe

2009-07-11 23:04 . 2009-07-11 23:04 -------- d-----w- c:\program files\ESET

2009-07-10 03:59 . 2008-04-14 01:33 21504 ----a-w- c:\windows\system32\drivers\hidserv.dll

2009-07-07 02:25 . 2009-07-07 02:25 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\HP Product Assistant

2009-07-02 21:20 . 2009-07-02 21:20 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2009-06-29 13:47 . 2009-06-29 14:07 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Google Updater

2009-06-27 00:16 . 2009-06-27 00:16 -------- d-----w- c:\documents and settings\Client\Local Settings\Application Data\AVG Security Toolbar

2009-06-27 00:16 . 2009-07-11 20:11 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\AVG Security Toolbar

2009-06-27 00:16 . 2009-06-27 00:16 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2009-06-27 00:16 . 2009-06-27 00:16 -------- d-----w- c:\documents and settings\LocalService\Application Data\AVGTOOLBAR

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-12 02:23 . 2008-05-29 00:10 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\avg8

2009-07-11 20:16 . 2008-05-30 00:30 -------- d-----w- c:\documents and settings\Client\Application Data\uTorrent

2009-07-11 03:12 . 2008-05-29 00:10 335752 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-07-10 04:00 . 2009-07-10 04:00 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf

2009-07-10 04:00 . 2009-07-10 04:00 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2009-07-07 19:00 . 2008-06-02 05:39 -------- d-----w- c:\documents and settings\Client\Application Data\Vso

2009-07-07 02:29 . 2008-04-25 00:10 -------- d-----w- c:\program files\HP

2009-07-07 02:24 . 2009-05-25 08:34 -------- d-----w- c:\documents and settings\Client\Application Data\Image Zone Express

2009-07-07 02:11 . 2005-01-24 14:30 139264 ----a-w- c:\windows\system32\hpzjrd01.dll

2009-06-29 13:53 . 2008-05-30 00:48 -------- d-----w- c:\program files\Google

2009-06-27 00:16 . 2008-05-29 00:10 11952 ----a-w- c:\windows\system32\avgrsstx.dll

2009-06-27 00:16 . 2008-04-24 01:32 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-06-23 02:23 . 2008-05-30 00:49 -------- d-----w- c:\documents and settings\Client\Application Data\LimeWire

2009-06-15 17:37 . 2008-07-27 03:08 -------- d-----w- c:\documents and settings\Client\Application Data\OpenOffice.org2

2009-06-07 23:26 . 2009-01-10 21:21 -------- d-----w- c:\program files\DivX

2009-06-07 23:25 . 2009-06-07 23:25 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2009-05-27 01:34 . 2009-05-27 01:34 249856 ------w- c:\windows\Setup1.exe

2009-05-27 01:34 . 2009-05-27 01:34 73216 ----a-w- c:\windows\ST6UNST.EXE

2009-05-18 17:51 . 2008-05-29 00:10 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2009-05-09 05:14 . 2009-05-09 05:14 1418120 ----a-w- c:\windows\system32\wdfcoinstaller01005.dll

2009-05-09 05:14 . 2009-05-09 05:14 14736 ----a-w- c:\windows\system32\drivers\nuidfltr.sys

2009-05-07 15:33 . 2004-08-04 04:54 348672 ----a-w- c:\windows\system32\localspl.dll

2009-05-07 01:53 . 2008-04-25 00:09 73728 ----a-w- c:\documents and settings\Client\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-05-07 00:34 . 2009-05-07 00:20 113616 ----a-w- c:\windows\hpoins07.dat

2009-05-01 21:02 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll

2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx0c.dll

2009-05-01 21:02 . 2009-05-01 21:02 823296 ----a-w- c:\windows\system32\divx_xx07.dll

2009-05-01 21:02 . 2009-05-01 21:02 815104 ----a-w- c:\windows\system32\divx_xx0a.dll

2009-05-01 21:02 . 2009-05-01 21:02 811008 ----a-w- c:\windows\system32\divx_xx16.dll

2009-05-01 21:02 . 2009-05-01 21:02 802816 ----a-w- c:\windows\system32\divx_xx11.dll

2009-05-01 21:02 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\DivX.dll

2009-04-29 04:45 . 2004-08-04 04:54 827392 ----a-w- c:\windows\system32\wininet.dll

2009-04-29 04:45 . 2004-08-04 04:54 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-04-19 19:50 . 2004-08-04 04:45 1847296 ----a-w- c:\windows\system32\win32k.sys

2009-04-17 23:58 . 2002-09-07 00:00 468402 ----a-w- c:\windows\system32\perfh00C.dat

2009-04-17 23:58 . 2002-09-07 00:00 75470 ----a-w- c:\windows\system32\perfc00C.dat

2005-04-01 02:17 . 2008-04-24 17:56 40960 ----a-w- c:\program files\Uninstall_CDS.exe

1999-04-06 18:27 . 1999-04-06 18:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL

1998-12-09 08:53 . 1998-12-09 08:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL

1998-12-09 08:53 . 1998-12-09 08:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL

1998-12-09 08:53 . 1998-12-09 08:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL

1998-12-09 08:53 . 1998-12-09 08:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL

1998-12-09 08:53 . 1998-12-09 08:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL

2009-06-13 01:03 . 2008-12-14 22:49 134648 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll

2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-14 1004800]

 

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

2009-06-14 20:07 1004800 ----a-w- c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-14 1004800]

 

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-14 1004800]

 

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-19 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]

"type32"="c:\program files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-06-27 1948440]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-15 16270848]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-17 2879488]

 

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-06-27 00:16 11952 ----a-w- c:\windows\system32\avgrsstx.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bitmeter2.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Bitmeter2.lnk

backup=c:\windows\pss\Bitmeter2.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk

backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Hyperappel du Petit Larousse 2009.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Hyperappel du Petit Larousse 2009.lnk

backup=c:\windows\pss\Hyperappel du Petit Larousse 2009.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk

backup=c:\windows\pss\Logiciel Kodak EasyShare.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Client^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]

path=c:\documents and settings\Client\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk

backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program Files\\LimeWire\\LimeWire.exe"=

"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=

"c:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"56606:TCP"= 56606:TCP:Pando P2P TCP Listening Port

"56606:UDP"= 56606:UDP:Pando P2P UDP Listening Port

 

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-05-28 335752]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-05-28 108552]

R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-07-04 907032]

R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-07-04 298776]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-04-23 35840]

S2 eqzynby;eqzynby;c:\windows\system32\drivers\ibbntxoa.sys --> c:\windows\system32\drivers\ibbntxoa.sys [?]

S2 gupdate1c9e7c7479df654;Service Google Update (gupdate1c9e7c7479df654);c:\program files\Google\Update\GoogleUpdate.exe [2009-06-07 133104]

S2 hwvtwijt;hwvtwijt;c:\windows\system32\drivers\aztov.sys --> c:\windows\system32\drivers\aztov.sys [?]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.ca/

FF - ProfilePath - c:\docume~1\Client\APPLIC~1\Mozilla\Firefox\Profiles\eegb5q2m.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1757849&SearchSource=3&q=

FF - prefs.js: browser.search.selectedEngine - torrent411 Customized Web Search

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1757849&SearchSource=2&q=

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll

FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-16 19:25

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'explorer.exe'(3136)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Completion time: 2009-07-16 19:26

ComboFix-quarantined-files.txt 2009-07-16 23:26

ComboFix2.txt 2009-07-15 18:23

 

Pre-Run: 92 149 047 296 octets libres

Post-Run: 92 113 281 024 octets libres

 

217 --- E O F --- 2009-07-10 04:02

[angelique]

executer----> regedit

 

» deroule la branche de registre jusqu'à : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

 

et supprime sous services UNIQUEMENT les valeurs ci dessous :

 

eqzynby

 

hwvtwijt

 

et ça sera ok.

[filou98]

J'ai essayé de le faire, mais ça me dit impossible, erreur lors de la suppression de la clé.

 

Je dois le faire sur le dossier jaune au complet, et non seulement sur ce qui est dedans, c'est bien cela?

[angelique]

oui les dossiers sous services :

 

eqzynby

 

hwvtwijt

 

tu as deja desinstallé ComboFix ??

 

S2 eqzynby;eqzynby;c:\windows\system32\drivers\ibbntxoa.sys --> c:\windows\system32\drivers\ibbntxoa.sys [?]

S2 hwvtwijt;hwvtwijt;c:\windows\system32\drivers\aztov.sys --> c:\windows\system32\drivers\aztov.sys [?]

 

Le services est Stopped mais en 2 (demarrage automatique) ça doit etre pour ça , pourtant il est stopped

 

va dans executer---> services.msc

 

repere les ligne de services :

 

eqzynby

 

hwvtwijt

 

double clic sur chacune d'elle , choisi type de demarrage "desactivé" \clic appliquer et redemarre.

 

retourne dans regedit au meme endroit les supprimer.