[Resolu] Problème à l'ouverture de Windows XP et Internet E7

[Armel]

salut

 

Ok nous allons procéder autrement >>

 

1°) Désactive ton antivirus temporairement le temps du téléchargement et du scan avec l'outil qui va suivre >>

 

 

 

2°) Téléchargement et utilisation de ComboFix.

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> Armel.exe
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur Armel.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

 

Merci pour cette autre proposition,

 

Je ne me trouve malheureusement plus chez mon frère et lui non plus.

Je suis impatient de tester ça demain.

 

Sinon, j'ai quelques questions si vous voulez bien en attendant :

 

1- Pour désactiver le pack Sécurité de Neuf, faut-il cliquer simplement "décharger et autoriser tout le trafic réseau" ??

 

2- Est-ce que "Combofix" est un anti-malwares ? Me demandera-t-il si je veux supprimer les "infections" ou fera-il de lui même ?

 

3- Aurions-nous pu faire également un "enregitrer la cible sous" avec MBAM.exe et renommer le nom en Armel.exe par exemple ??

 

4- L'autre jour, la clé USB à mon frère n'était plus reconnue par le système. J'avais également utilisé la mienne avant qu'elle ne soit plus reconnue également.

Est-ce que je cours un risque si je l'utilise aujourd'hui sur mon ordinateur ?.

 

5- Je souhaite installer un logiciel sur l'ordinateur infecté à mon frère, y a t-il un risque pour que mon CD soit contaminé ?

 

Pour info, j'ai donc le pare-feu de Vista, Antivir à jour, MBAM que je viens de mettre à jour et Spybot.

 

Merci d'avance

 

Slts

Modifié le 26 juillet 2009 par Armel

[Thanos]

salut

 

1- Pour désactiver le pack Sécurité de Neuf, faut-il cliquer simplement "décharger et autoriser tout le trafic réseau" ??

Oui, c'est ce que je lis sur certains tutoriaux. Assure toi juste que l'antivirus/paerefeu soit bien activé au redémarrage du pc (car il y aura certainement redémarrage après passage de ComboFix).

2- Est-ce que "Combofix" est un anti-malwares ? Me demandera-t-il si je veux supprimer les "infections" ou fera-il de lui même ?

ComboFix est un outil puissant qui permet de traiter certaines infections. Ce n'est pas à proprement parler un antimalwares, car on ne doit pas l'utiliser n'importe comment. Plus d'infos sur le tutoriel de nickW qui te permet de voir en images ce qui va se passer une fois l'outil lancé >> http://www.bleepingcomputer.com/combofix/f...iliser-combofix

3- Aurions-nous pu faire également un "enregitrer la cible sous" avec MBAM.exe et renommer le nom en Armel.exe par exemple ?

Oui bien sûr. Tu peux d'ailleurs faire cela avec tout programme téléchargé et pas simplement ces deux là

4- L'autre jour, la clé USB à mon frère n'était plus reconnue par le système. J'avais également utilisé la mienne avant qu'elle ne soit plus reconnue également.

Est-ce que je cours un risque si je l'utilise aujourd'hui sur mon ordinateur ?.

Je reprends les mots de Mark à ce propos >>

Tu as probablement des supports amovibles infectés aussi, alors évite de transporter tes clés USB ou autres lecteurs amovibles vers d'autres machines, sinon ça se propagera rapidement...

Il est possible que ta clé soit infectée si tu l'as branchée sur le pc de ton frère... dans l'idéal, il faudrait éviter de la connecter à ton propre pc sans être certain qu'elle est saine. Si tu est amené à connecter cette clé sur un autre pc (ou tout autre support amovible qui a déjà été connecté au pc infecté), il ne faut pas double-cliquer sur l'icône du support en question dans l'explorateur! sinon l'infection se lance automatiquement....il faut faire un clic avec le bouton droit de la souris dessus et faire analyser son contenu par un antivirus à jour (ou malwarebytes par ex). Si rien n'est détecté, alors on peux double-cliquer sur l'icone.

Plus d'infos pour comprendre le fonctionnement de ces infections dans le très bon tutoriel de Gof >> http://forum.zebulon.fr/infections-par-sup...es-t131959.html

Lis le: c'est simple et bien conçu

5- Je souhaite installer un logiciel sur l'ordinateur infecté à mon frère, y a t-il un risque pour que mon CD soit contaminé

aucun! Ceci dit, pour le moment je te conseille de ne rien installer d'autre sur le pc infecté.Il est préférable de finir la désinfection d'abord.

 

edit pour le genre ^^

Modifié le 27 juillet 2009 par Thanos

[Armel]

salut

 

 

Oui, c'est ce que je lis sur certains tutoriaux. Assure toi juste que l'antivirus/paerefeu soit bien activé au redémarrage du pc (car il y aura certainement redémarrage après passage de ComboFix).

 

ComboFix est un outil puissant qui permet de traiter certaines infections. Ce n'est pas à proprement parler un antimalwares, car on ne doit pas l'utiliser n'importe comment. Plus d'infos sur le tutoriel de nickW qui te permet de voir en images ce qui va se passer une fois l'outil lancé >> http://www.bleepingcomputer.com/combofix/f...iliser-combofix

 

Oui bien sûr. Tu peux d'ailleurs faire cela avec tout programme téléchargé et pas simplement ces deux là

 

Je reprends les mots de Mark à ce propos >>

 

Il est possible que ta clé soit infectée si tu l'as branchée sur le pc de ton frère... dans l'idéal, il faudrait éviter de la connecter à ton propre pc sans être certaine qu'elle est saine. Si tu est amenée à connecter cette clé sur un autre pc (ou tout autre support amovible qui a déjà été connecté au pc infecté), il ne faut pas double-cliquer sur l'icône du support en question dans l'explorateur! sinon l'infection se lance automatiquement....il faut faire un clic avec le bouton droit de la souris dessus et faire analyser son contenu par un antivirus à jour (ou malwarebytes par ex). Si rien n'est détecté, alors on peux double-cliquer sur l'icone.

Plus d'infos pour comprendre le fonctionnement de ces infections dans le très bon tutoriel de Gof >> http://forum.zebulon.fr/infections-par-sup...es-t131959.html

Lis le: c'est simple et bien conçu

 

aucun! Ceci dit, pour le moment je te conseille de ne rien installer d'autre sur le pc infecté.Il est préférable de finir la désinfection d'abord.

 

 

Bonsoir le Forum, bonsoir Thanos,

 

Je reviens cette fois pour vous annoncer de bonnes nouvelles concernant les infections et on peut parler plutôt de nid à virus et Rootkits, car je pense que les rapports en diront long !!

 

Thanos, je crois que j'ai pu grâce aux trés bon contenus de vos réponses et solutions, venir à bout du problème.

 

Et je vous remercie pour votre amabilité et votre coopération.

 

Je souhaite aussi partager à tous les membres que ça intéresse, énumerer ci-dessous les grandes lignes du processus de désinfection :

 

1- Donc à l'exécution de "Combofix" (en Anglais) et en respectant bien les consignes à Thanos et du Tuto, tout s'est déroulé sans souci. Pas de problème intermédiaire de "console de récupération" par exemple (voir tutoriel dans le message précédent à Thanos).

 

Voici un échantillon du message que j'ai reçus pendant Combofix avant le reboot :

 

"Rootkit

Combofix has detected the presence of activity and needs to reboot the machine kindly not down on paper, the name of each file....

C:\Windows\sytem32\drivers\UAC....

C:\Windows\....."

 

 

Un autre après le reboot de F-Secure Antivirus", pendant les étapes d'analyse de Combofix "Completed Stage_1" :

 

"F-Secure Antivirus

Code dangereux détecté dans le fichier

C\Documents and Setting\Armel\Local Setting\Temp\Av_Test.Txt

Infection : EICAR_TEST_FILE

Action: le fichier a été supprimé"

 

2- Après la fin de Combofix et du rapport .Log, j'ai pu enfin installer "Malwerbytes Antimalware", opération impossible jusque là avant Combofix. J'ai lancé l'analyse du système et avec la clé USB insérée (durée 2 heures d'analyse alors que sur mon portable qui est plutôt récent sur Vista, ça a duré 1h05 min).

 

Et Voici quelques copies d'écran du Pack Sécurité SFR qui également se mettait à afficher les Virus retrouvés (je crois une vingtaine mis en quarantaine) :

 

 

 

 

 

3. Ensuite, j'ai testé la défragmentation de "C: " et ça fonctionnait car avant il ne démarrait pas tout.

 

4. J'ai pu introduire la clé USB analysée avec MBAM dans mon portable et aucun souci !!

 

5. Un dernier petit détail qui je pense n'a rien à avoir avec une infection mais plutôt IE7 endommagé, j'ai toujours le message suivant à l'ouverture de IE7 + bloquage du système si je clique sur une des 2 options (pour les 2 autres messages à l'ouverture de Windows XP dont je parlais dans mon tout 1er message, c'est réglé, ils ont bien disparu).

 

 

Mais je pourrai peut-être ouvrir une nouvelle discussion et la poster dans une autre rubrique de ce forum à l'occasion, ça ne presse pas car Google Chrome s'ouvre sans problème.

 

Voilà tout en résumé,

 

Thanos, comme prévu, je vous joins les rapports de Combofix et de Rsit dans le message suivant pour ne pas trop charger celui-ci.

 

Peut-être que vous trouverez encore quelques résidus !!!!

 

En tout cas, je suis déjà rassuré pour les infections...

 

Mille merci encore.

 

Cordialement.

[Armel]

Voici le 1er rapport de Combofix :

 

 

ComboFix 09-07-26.03 - Armel 27/07/2009 18:38.1.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.560 [GMT 2:00]

Running from: c:\documents and settings\Armel\Bureau\Armel.exe

AV: Pack sécurité 8.00 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}

FW: Pack sécurité 8.00 *disabled* {D4747503-0346-49EB-9262-997542F79BF4}

* Resident AV is active

 

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Armel\Local Settings\Application Data\iwwqscg.dat

c:\documents and settings\Armel\Local Settings\Application Data\iwwqscg.exe

c:\documents and settings\Armel\Local Settings\Application Data\iwwqscg_nav.dat

c:\documents and settings\Armel\Local Settings\Application Data\iwwqscg_navps.dat

c:\documents and settings\Armel\Local Settings\Application Data\tjejbolqe.dat

c:\documents and settings\Armel\Local Settings\Application Data\tjejbolqe_nav.dat

c:\documents and settings\Armel\Local Settings\Application Data\tjejbolqe_navps.dat

C:\mitm.exe

c:\program files\Altnet

c:\program files\Altnet\Download Manager\altinst1.dll

c:\program files\Altnet\Download Manager\altinst2.dll

c:\program files\sFX

c:\program files\sFX\SfX.DlL

c:\program files\webmediaplayer

c:\program files\webmediaplayer\Conditions générales.url

c:\program files\webmediaplayer\Confidentialité.url

c:\program files\webmediaplayer\resources\languages_v2.xml

c:\program files\webmediaplayer\resources\webmedias

c:\program files\webmediaplayer\skins\classic.skn

c:\program files\webmediaplayer\sqlite3.dll

c:\program files\webmediaplayer\WebMediaPlayer.exe

c:\program files\webmediaplayer\Website.url

c:\windows\010112010146118114.dat

c:\windows\0101120101464849.dat

c:\windows\Installer\ca6e0.msp

c:\windows\Installer\d8615f.msp

c:\windows\svchost.exe

c:\windows\system32\10.exe

c:\windows\system32\8d60b5fa-029b-5c8d-3923-f44cd3450654.exe

c:\windows\system32\AutoRun.inf

c:\windows\system32\drivers\UACjnrnirmsuhyfdkatv.sys

c:\windows\system32\ibblcqimtbinxzczt.dll

c:\windows\system32\mfc45.dll

c:\windows\system32\nvs2.inf

c:\windows\system32\setup.exe.tmp

c:\windows\system32\UACbphajjbeseoheurka.dll

c:\windows\system32\UACglxmydgiwkjypaybo.dll

c:\windows\system32\uacinit.dll

c:\windows\system32\UACrocqhvfmhrulqpxul.dll

c:\windows\system32\UACrqjdtfnstitjnwhhb.dll

c:\windows\system32\UACwtmauklybivkndxdh.dat

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_UACd.sys

-------\Legacy_SFX

-------\Legacy_SFXDRV

-------\Service_sfx

-------\Service_sFxdrv

 

 

((((((((((((((((((((((((( Files Created from 2009-06-27 to 2009-07-27 )))))))))))))))))))))))))))))))

.

 

2009-07-27 16:01 . 2009-07-27 16:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-07-25 16:13 . 2009-07-25 16:13 94 ----a-w- c:\documents and settings\Armel\keywords.dat

2009-07-25 15:11 . 2009-07-25 15:11 -------- dc----w- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes

2009-07-24 20:35 . 2009-07-24 20:35 -------- dc----w- c:\documents and settings\LocalService\Application Data\iolo

2009-07-24 20:34 . 2009-07-24 20:36 -------- dc----w- c:\docume~1\ALLUSE~1\APPLIC~1\iolo

2009-07-24 20:34 . 2009-07-24 20:36 -------- d-----w- c:\documents and settings\Armel\Application Data\iolo

2009-07-24 17:19 . 2009-07-24 17:19 -------- dcsh--w- c:\documents and settings\NetworkService\IETldCache

2009-07-23 20:00 . 2009-07-23 20:00 7424000 ----a-r- c:\documents and settings\Armel\Application Data\Microsoft\Installer\{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}\soffice.exe

2009-07-23 19:58 . 2009-07-23 19:58 -------- d-----w- c:\program files\JRE

2009-07-23 17:31 . 2009-07-23 17:32 -------- d-----w- c:\program files\trend micro

2009-07-23 17:31 . 2009-07-23 17:40 -------- dc----w- C:\rsit

2009-07-22 20:08 . 2009-07-22 20:08 -------- dcsh--w- c:\documents and settings\Jacques.Armel-135280922\IECompatCache

2009-07-22 19:31 . 2009-07-22 19:35 -------- d-----w- c:\documents and settings\Armel\Local Settings\Application Data\Conduit

2009-07-22 17:14 . 2009-07-25 15:50 -------- dc----w- c:\docume~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

2009-07-21 18:00 . 2009-07-21 18:00 -------- dc----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Adobe

2009-07-21 17:58 . 2009-07-21 17:58 -------- dc----w- c:\documents and settings\Administrateur\Application Data\Sony Ericsson

2009-07-21 17:57 . 2009-07-21 17:57 -------- dcsh--w- c:\documents and settings\Administrateur\PrivacIE

2009-07-21 17:20 . 2009-07-21 17:20 -------- dcsh--w- c:\documents and settings\Administrateur\IETldCache

2009-07-21 16:58 . 2009-07-21 16:58 -------- d-sh--w- c:\documents and settings\Armel\IECompatCache

2009-07-21 16:50 . 2009-07-21 16:50 -------- dc----w- c:\docume~1\ALLUSE~1\APPLIC~1\Messenger Plus!

2009-07-21 16:49 . 2009-07-21 16:49 -------- d-sh--w- c:\documents and settings\yilmaz.Armel-135280922\IETldCache

2009-07-20 11:28 . 2009-07-20 11:28 -------- d-----w- c:\program files\InterActive Vision

2009-07-16 20:19 . 2009-07-23 20:29 1 ----a-w- c:\documents and settings\Armel\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-07-16 20:19 . 2009-07-16 20:19 -------- d-----w- c:\documents and settings\Armel\Application Data\OpenOffice.org

2009-07-16 20:07 . 2009-07-23 19:58 -------- d-----w- c:\program files\OpenOffice.org 3

2009-07-16 20:01 . 2009-07-16 20:01 410984 ----a-w- c:\windows\system32\deploytk.dll

2009-07-16 16:08 . 2009-07-16 16:08 -------- dcsh--w- c:\documents and settings\Jacques.Armel-135280922\PrivacIE

2009-07-16 16:06 . 2008-12-14 16:22 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922\Local Settings\Application Data\Microsoft Help

2009-07-16 16:06 . 2007-09-13 16:07 -------- dc-h--w- c:\documents and settings\Jacques.Armel-135280922\Voisinage réseau

2009-07-16 16:06 . 2007-09-13 16:07 -------- dc-h--w- c:\documents and settings\Jacques.Armel-135280922\Voisinage d'impression

2009-07-16 16:06 . 2007-09-13 16:07 -------- dc----r- c:\documents and settings\Jacques.Armel-135280922\Menu Démarrer

2009-07-16 16:06 . 2007-09-13 14:14 -------- dc-h--w- c:\documents and settings\Jacques.Armel-135280922\Modèles

2009-07-16 16:06 . 2009-07-22 20:08 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922

2009-07-14 19:28 . 2009-07-14 19:28 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2009-07-11 08:42 . 2009-07-11 08:42 -------- d-----w- c:\windows\ie8updates

2009-07-09 12:57 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2009-07-09 12:57 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2009-07-08 14:13 . 2009-07-08 14:13 -------- d-sh--w- c:\documents and settings\Armel\PrivacIE

2009-07-08 14:11 . 2009-07-08 14:11 -------- d-sh--w- c:\documents and settings\Armel\IETldCache

2009-07-08 13:52 . 2009-07-08 13:55 -------- dc-h--w- c:\windows\ie8

2009-07-08 13:35 . 2009-07-08 14:14 -------- dc----w- c:\documents and settings\Jacques

2009-07-07 11:03 . 2009-06-30 07:41 28672 ----a-w- c:\windows\system32\NFUninstall.exe

2009-07-07 11:03 . 2009-05-14 09:58 61440 ----a-w- c:\windows\system32\ndisapi.dll

2009-07-07 11:03 . 2009-06-22 14:58 24576 ----a-w- c:\windows\system32\drivers\ndisrd.sys

2009-07-07 11:02 . 2009-07-07 11:02 -------- d-----w- c:\program files\Fichiers communs\Uninstall

2009-07-07 11:02 . 2009-07-15 12:55 -------- d-----w- c:\program files\PersonalAV

2009-07-02 13:51 . 2009-07-02 13:51 1331712 ----a-w- c:\windows\system32\nsn303.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-27 16:37 . 2007-10-13 09:34 -------- d-----w- c:\program files\Google

2009-07-26 15:35 . 2008-05-02 19:28 -------- d-----w- c:\program files\EA SPORTS

2009-07-24 16:51 . 2008-09-12 21:01 84456 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT

2009-07-23 16:58 . 2007-09-13 15:06 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-07-23 16:37 . 2008-12-24 15:47 -------- d-----w- c:\program files\Microsoft Silverlight

2009-07-22 19:35 . 2008-05-19 18:05 -------- d-----w- c:\program files\Conduit

2009-07-22 19:35 . 2008-05-19 18:05 -------- d-----w- c:\program files\myBabylon

2009-07-21 16:51 . 2008-10-31 13:57 84456 ----a-w- c:\documents and settings\yilmaz.Armel-135280922\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-07-16 20:48 . 2008-11-30 22:34 160068 ----a-w- c:\windows\hpoins15.dat

2009-07-16 20:05 . 2008-09-12 20:16 -------- d-----w- c:\program files\OpenOffice.org 2.4

2009-07-16 20:01 . 2007-09-13 15:10 -------- d-----w- c:\program files\Java

2009-07-16 20:00 . 2007-09-16 14:29 -------- d-----w- c:\documents and settings\Armel\Application Data\OpenOffice.org2

2009-07-16 19:01 . 2008-09-12 20:31 1 ----a-w- c:\documents and settings\Armel\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2009-07-16 16:07 . 2009-07-16 16:07 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922\Application Data\Teleca

2009-07-16 16:07 . 2009-07-16 16:07 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922\Application Data\Sony Ericsson

2009-07-15 12:56 . 2008-12-13 23:12 -------- dc----w- c:\docume~1\ALLUSE~1\APPLIC~1\Microsoft Help

2009-07-11 09:13 . 2007-10-28 16:07 -------- d-----w- c:\program files\Messenger Plus! Live

2009-07-09 12:48 . 2009-06-16 17:03 -------- d-----w- c:\program files\SuperMarioPac

2009-07-08 14:12 . 2009-06-16 17:27 48282 ----a-w- c:\windows\system32\jlplitovilyzadkhe.exe

2009-07-08 09:41 . 2009-01-24 14:29 33920 ----a-w- c:\windows\system32\drivers\fsbts.sys

2009-07-05 03:21 . 2008-01-09 21:50 -------- d-----w- c:\documents and settings\Armel\Application Data\sendactivesoap

2009-06-28 13:28 . 2008-01-09 19:55 -------- d-----w- c:\program files\Circle Developement

2009-06-16 14:40 . 2006-03-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-16 14:40 . 2006-03-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-08 19:12 . 2008-11-25 17:57 -------- dc----w- c:\documents and settings\yilmaz.Armel-135280922\Application Data\OpenOffice.org2

2009-06-06 18:52 . 2008-11-30 00:16 -------- d-----w- c:\program files\AutoCAD LT 2000

2009-06-06 13:53 . 2007-12-21 15:50 -------- d-----w- c:\program files\ALCATEL PC Suite

2009-06-06 13:51 . 2008-07-03 08:40 -------- d-----w- c:\program files\ICQToolbar

2009-06-06 13:46 . 2007-10-30 10:28 -------- d-----w- c:\program files\LimeWire

2009-06-03 19:10 . 2006-03-02 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-05-13 05:04 . 2006-03-02 12:00 915456 ----a-w- c:\windows\system32\wininet.dll

2009-05-07 15:33 . 2006-03-02 12:00 348672 ----a-w- c:\windows\system32\localspl.dll

2007-01-25 02:52 . 2007-01-25 02:52 65536 ----a-w- c:\program files\Fichiers communs\NMSAccessU.exe

2008-05-03 20:09 . 2008-04-22 20:28 88 --sh--r- c:\windows\system32\131FBFDF4F.sys

2008-05-03 20:11 . 2008-04-22 20:28 2828 --sha-w- c:\windows\system32\KGyGaAvL.sys

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03bd019a-733b-698b-50b0-6f3dbe1ddfa1}]

2009-07-02 13:51 1331712 ----a-w- c:\windows\system32\nsn303.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"ares"="c:\program files\Ares\Ares.exe" [2008-02-20 963072]

"Google Update"="c:\documents and settings\Armel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-05-07 133104]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 32768]

"Adobe Photo Downloader"="c:\program files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe" [2007-11-05 61440]

"F-Secure Manager"="c:\documents and settings\Armel\Mes documents\Common\FSM32.EXE" [2008-09-23 182936]

"F-Secure TNB"="c:\documents and settings\Armel\Mes documents\FSGUI\TNBUtil.exe" [2008-09-23 957024]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-12-08 185872]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"gusvc"=3 (0x3)

"gupdate1c9bb69e4d251de"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Ares\\Ares.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\enes57500\\counter-strike\\hl.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\enes57500\\condition zero\\hl.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Documents and Settings\\Armel\\Bureau\\enes\\steam\\steamapps\\enes57500\\counter-strike\\hl.exe"=

"c:\\Documents and Settings\\Armel\\Bureau\\enes\\steamapps\\enes57500\\counter-strike\\hl.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"8085:TCP"= 8085:TCP:sfx

 

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [24/01/2009 16:29 33920]

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [21/06/2008 23:28 79904]

R1 F-Secure HIPS;F-Secure HIPS Driver;c:\documents and settings\Armel\Mes documents\HIPS\drivers\fshs.sys [24/01/2009 16:15 66720]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [24/12/2008 17:46 55136]

R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\documents and settings\Armel\Mes documents\Anti-Virus\minifilter\fsgk.sys [21/06/2008 23:21 99960]

S3 FSORSPClient;F-Secure ORSP Client;c:\documents and settings\Armel\Mes documents\ORSP Client\fsorsp.exe [24/01/2009 16:15 55904]

S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [08/12/2008 18:01 533344]

S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [29/11/2001 16:10 1432836]

S4 F-Secure Filter;F-Secure File System Filter;c:\documents and settings\Armel\Mes documents\Anti-Virus\win2k\fsfilter.sys [21/06/2008 23:21 39776]

S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\documents and settings\Armel\Mes documents\Anti-Virus\win2k\fsrec.sys [21/06/2008 23:21 25184]

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - NDISRD

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

- - - - ORPHANS REMOVED - - - -

 

HKCU-Run-iwwqscg - c:\documents and settings\Armel\local settings\application data\iwwqscg.exe

HKLM-Run-MSDRV - NetFilter.exe

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.neufportail.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

LSP: c:\documents and settings\Armel\Mes documents\FSPS\program\fslsp.dll

.

 

**************************************************************************

 

creating catchme.sys error: Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-27 18:51

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]

"Name"="ActiveSync"

"DisplayName"="Microsoft ActiveSync"

"Param1"="ActiveSync"

"Type"="wellknown"

"Order"=dword:00000001

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]

"Name"="IESettings"

"Type"="IESettings"

"Order"=dword:00000004

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]

"Name"="MediaFiles"

"Type"="MediaFiles"

"Order"=dword:00000003

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]

"Name"="NPW"

"Param1"="NPW"

"Type"="wellknown"

"Order"=dword:00000002

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]

"Name"="Outlook"

"DisplayName"="Microsoft Outlook"

"Param1"="Outlook"

"Type"="wellknown"

"Order"=dword:00000000

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:98,ae,a6,2d,e9,49,b5,c2,71,4c,c5,46,ef,d5,42,07,64,c2,4f,1a,64,db,d2,

0f,25,40,2a,fd,b5,ec,51,bd,f7,a1,6e,5f,85,b9,d4,ca,98,30,c0,72,57,f8,32,a9,\

"??"=hex:4f,2c,af,47,cb,47,eb,2a,9c,a5,9a,fb,c7,88,09,a9

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(772)

c:\documents and settings\Armel\Mes documents\FWES\Program\fsdc32.dll

 

- - - - - - - > 'lsass.exe'(828)

c:\documents and settings\Armel\Mes documents\FSPS\program\fslsp.dll

c:\documents and settings\Armel\Mes documents\FWES\Program\fsdc32.dll

 

- - - - - - - > 'explorer.exe'(3820)

c:\documents and settings\Armel\Mes documents\Spam Control\fsscoepl.dll

c:\program files\Windows Media Player\wmpband.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

 

- - - - - - - > 'csrss.exe'(652)

c:\documents and settings\Armel\Mes documents\FWES\Program\fsdc32.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\documents and settings\Armel\Mes documents\Anti-Virus\fsgk32st.exe

c:\documents and settings\Armel\Mes documents\Common\FSMA32.EXE

c:\documents and settings\Armel\Mes documents\Anti-Virus\fsgk32.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\documents and settings\Armel\Mes documents\Common\FSMB32.EXE

c:\program files\Fichiers communs\NMSAccessU.exe

c:\windows\system32\PSIService.exe

c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\documents and settings\Armel\Mes documents\Common\FCH32.EXE

c:\documents and settings\Armel\Mes documents\Common\FAMEH32.EXE

c:\documents and settings\Armel\Mes documents\Anti-Virus\fsqh.exe

c:\documents and settings\Armel\Mes documents\Anti-Virus\fssm32.exe

c:\documents and settings\Armel\Mes documents\FSPC\fspc.exe

c:\documents and settings\Armel\Mes documents\FSAUA\program\fsaua.exe

c:\windows\system32\wscntfy.exe

c:\documents and settings\Armel\Mes documents\FWES\program\fsdfwd.exe

c:\documents and settings\Armel\Mes documents\Anti-Virus\fsav32.exe

c:\docume~1\Armel\MESDOC~1\FSGUI\fsguidll.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Completion time: 2009-07-27 19:01 - machine was rebooted

ComboFix-quarantined-files.txt 2009-07-27 17:01

 

Pre-Run: 41 318 248 448 octets libres

Post-Run: 41 295 126 528 octets libres

 

321 --- E O F --- 2009-07-22 21:06

[Armel]

Puis le 2ème rapport Rsit :

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Armel at 2009-07-27 21:55:26

Microsoft Windows XP Édition familiale Service Pack 3

System drive C: has 39 GB (50%) free of 78 GB

Total RAM: 1023 MB (38% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:55:59, on 27/07/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Documents and Settings\Armel\Mes documents\Anti-Virus\fsgk32st.exe

C:\Documents and Settings\Armel\Mes documents\Common\FSMA32.EXE

C:\Documents and Settings\Armel\Mes documents\Anti-Virus\FSGK32.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Documents and Settings\Armel\Mes documents\Common\FSMB32.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\NMSAccessU.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\PSIService.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Armel\Mes documents\Common\FCH32.EXE

C:\Documents and Settings\Armel\Mes documents\Anti-Virus\fssm32.exe

C:\Documents and Settings\Armel\Mes documents\Common\FAMEH32.EXE

C:\Documents and Settings\Armel\Mes documents\Anti-Virus\fsqh.exe

C:\Documents and Settings\Armel\Mes documents\FSAUA\program\fsaua.exe

C:\Documents and Settings\Armel\Mes documents\FSPC\fspc.exe

C:\Documents and Settings\Armel\Mes documents\FWES\Program\fsdfwd.exe

C:\Documents and Settings\Armel\Mes documents\FSAUA\program\fsus.exe

C:\Documents and Settings\Armel\Mes documents\Anti-Virus\fsav32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe

C:\Documents and Settings\Armel\Mes documents\Common\FSM32.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Ares\Ares.exe

C:\Documents and Settings\Armel\Mes documents\FSGUI\fsguidll.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\OpenOffice.org 3\program\swriter.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Documents and Settings\Armel\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Armel\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Armel\Mes documents\Downloads\RSIT.exe

C:\Program Files\trend micro\Armel.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: precisead - {03bd019a-733b-698b-50b0-6f3dbe1ddfa1} - C:\WINDOWS\system32\nsn303.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Documents and Settings\Armel\Mes documents\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Documents and Settings\Armel\Mes documents\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Armel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Documents and Settings\Armel\Mes documents\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Documents and Settings\Armel\Mes documents\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Documents and Settings\Armel\Mes documents\FSPC\fspcmsie.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.1...toUploader5.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D1548A26-B8F6-4E86-AE74-E7062CCC2E2A} (igLoader Content on Demand) - http://www.miniclip.com/igloader/igloader.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Documents and Settings\Armel\Mes documents\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Documents and Settings\Armel\Mes documents\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Documents and Settings\Armel\Mes documents\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Documents and Settings\Armel\Mes documents\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Documents and Settings\Armel\Mes documents\ORSP Client\fsorsp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - c:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\Fichiers communs\NMSAccessU.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 11643 bytes

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

C:\WINDOWS\tasks\BDB59BF191DA117D.job

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1220945662-602162358-682003330-1004Core.job

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1220945662-602162358-682003330-1004UA.job

C:\WINDOWS\tasks\Scheduled scanning task.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}]

HP Print Enhancer - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll [2007-03-02 1298024]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03bd019a-733b-698b-50b0-6f3dbe1ddfa1}]

precisead - C:\WINDOWS\system32\nsn303.dll [2009-07-02 1331712]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}]

HP Print Clips - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll [2007-03-02 177768]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]

Adobe PDF Link Helper - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]

RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-12-08 304736]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]

Search Helper - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-07-16 35840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]

Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2008-12-08 1067352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-16 73728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2008-12-08 1067352]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"RemoteControl"=C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2003-12-08 32768]

"Adobe Photo Downloader"=C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe [2007-11-05 61440]

"F-Secure Manager"=C:\Documents and Settings\Armel\Mes documents\Common\FSM32.EXE [2008-09-23 182936]

"F-Secure TNB"=C:\Documents and Settings\Armel\Mes documents\FSGUI\TNBUtil.exe [2008-09-23 957024]

"TkBellExe"=C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe [2008-12-08 185872]

"QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2008-09-06 413696]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"Malwarebytes' Anti-Malware"=C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe [2009-07-13 414992]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

"ares"=C:\Program Files\Ares\Ares.exe [2008-02-20 963072]

"Google Update"=C:\Documents and Settings\Armel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-07 133104]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]

C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera []

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2007-03-28 593920]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"gusvc"=3

"gupdate1c9bb69e4d251de"=2

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=323

"NoDriveAutoRun"=67108863

"NoDrives"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

"NoDrives"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Ares\Ares.exe"="C:\Program Files\Ares\Ares.exe:*:Enabled:Ares p2p for windows"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\Program Files\Valve\Steam\SteamApps\enes57500\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\enes57500\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"

"C:\Program Files\Valve\Steam\SteamApps\enes57500\condition zero\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\enes57500\condition zero\hl.exe:*:Enabled:Half-Life Launcher"

"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"

"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

"C:\Documents and Settings\Armel\Bureau\enes\steam\steamapps\enes57500\counter-strike\hl.exe"="C:\Documents and Settings\Armel\Bureau\enes\steam\steamapps\enes57500\counter-strike\hl.exe:*:Disabled:Half-Life Launcher"

"C:\Documents and Settings\Armel\Bureau\enes\steamapps\enes57500\counter-strike\hl.exe"="C:\Documents and Settings\Armel\Bureau\enes\steamapps\enes57500\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"

 

======List of files/folders created in the last 1 months======

 

2009-07-27 21:47:29 ----SHDC---- C:\RECYCLER

2009-07-27 19:22:49 ----D---- C:\Documents and Settings\Armel\Application Data\Malwarebytes

2009-07-27 19:01:31 ----AC---- C:\ComboFix.txt

2009-07-27 18:28:19 ----A---- C:\WINDOWS\zip.exe

2009-07-27 18:28:19 ----A---- C:\WINDOWS\SWXCACLS.exe

2009-07-27 18:28:19 ----A---- C:\WINDOWS\SWSC.exe

2009-07-27 18:28:19 ----A---- C:\WINDOWS\SWREG.exe

2009-07-27 18:28:19 ----A---- C:\WINDOWS\sed.exe

2009-07-27 18:28:19 ----A---- C:\WINDOWS\PEV.exe

2009-07-27 18:28:19 ----A---- C:\WINDOWS\NIRCMD.exe

2009-07-27 18:28:19 ----A---- C:\WINDOWS\grep.exe

2009-07-27 18:27:46 ----D---- C:\WINDOWS\ERDNT

2009-07-27 18:27:25 ----DC---- C:\Qoobox

2009-07-27 18:10:47 ----A---- C:\WINDOWS\ntbtlog.txt

2009-07-27 18:01:02 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-07-26 17:43:28 ----A---- C:\WINDOWS\imsins.BAK

2009-07-25 17:32:12 ----AC---- C:\avenger.txt

2009-07-25 17:11:42 ----DC---- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2009-07-24 22:34:17 ----DC---- C:\Documents and Settings\All Users\Application Data\iolo

2009-07-24 22:34:17 ----D---- C:\Documents and Settings\Armel\Application Data\iolo

2009-07-23 21:58:51 ----D---- C:\Program Files\JRE

2009-07-23 19:31:26 ----D---- C:\Program Files\trend micro

2009-07-23 19:31:25 ----DC---- C:\rsit

2009-07-22 19:14:25 ----DC---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2009-07-22 18:32:53 ----D---- C:\WINDOWS\pss

2009-07-21 18:50:54 ----DC---- C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2009-07-20 13:28:51 ----D---- C:\Program Files\InterActive Vision

2009-07-16 22:19:37 ----D---- C:\Documents and Settings\Armel\Application Data\OpenOffice.org

2009-07-16 22:07:04 ----D---- C:\Program Files\OpenOffice.org 3

2009-07-16 22:01:40 ----A---- C:\WINDOWS\system32\javaws.exe

2009-07-16 22:01:40 ----A---- C:\WINDOWS\system32\javaw.exe

2009-07-16 22:01:40 ----A---- C:\WINDOWS\system32\java.exe

2009-07-16 22:01:40 ----A---- C:\WINDOWS\system32\deploytk.dll

2009-07-15 14:57:15 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$

2009-07-15 14:57:02 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$

2009-07-15 14:50:23 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$

2009-07-11 11:48:16 ----SH---- C:\Documents and Settings\Armel\Application Data\bumavlas0.ini

2009-07-11 11:48:16 ----SH---- C:\Documents and Settings\Armel\Application Data\bumavlas.ini

2009-07-11 10:42:51 ----D---- C:\WINDOWS\ie8updates

2009-07-08 15:52:09 ----HDC---- C:\WINDOWS\ie8

2009-07-07 13:03:40 ----A---- C:\WINDOWS\system32\NFUninstall.exe

2009-07-07 13:03:40 ----A---- C:\WINDOWS\system32\ndisapi.dll

2009-07-07 13:02:48 ----D---- C:\Program Files\Fichiers communs\Uninstall

2009-07-07 13:02:05 ----D---- C:\Program Files\PersonalAV

2009-07-02 15:51:18 ----A---- C:\WINDOWS\system32\nsn303.dll

 

======List of files/folders modified in the last 1 months======

 

2009-07-27 21:55:48 ----D---- C:\WINDOWS\Temp

2009-07-27 21:47:51 ----A---- C:\WINDOWS\NeroDigital.ini

2009-07-27 20:44:16 ----DC---- C:\Documents and Settings\All Users\Application Data\dumb pure bind support

2009-07-27 20:44:16 ----D---- C:\Program Files\Circle Developement

2009-07-27 20:44:16 ----D---- C:\Documents and Settings\Armel\Application Data\sendactivesoap

2009-07-27 19:22:40 ----D---- C:\WINDOWS\system32\drivers

2009-07-27 19:15:11 ----D---- C:\WINDOWS\system32\CatRoot2

2009-07-27 19:05:16 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-07-27 19:01:35 ----D---- C:\WINDOWS\system32

2009-07-27 18:59:46 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-07-27 18:53:45 ----D---- C:\WINDOWS

2009-07-27 18:53:45 ----AC---- C:\WINDOWS\system.ini

2009-07-27 18:48:41 ----D---- C:\WINDOWS\system32\config

2009-07-27 18:47:53 ----RD---- C:\Program Files

2009-07-27 18:47:31 ----SHD---- C:\WINDOWS\Installer

2009-07-27 18:44:45 ----D---- C:\WINDOWS\AppPatch

2009-07-27 18:44:41 ----D---- C:\Program Files\Fichiers communs

2009-07-27 18:37:17 ----DC---- C:\Documents and Settings\All Users\Application Data\Google

2009-07-27 18:37:17 ----D---- C:\Program Files\Google

2009-07-27 18:36:49 ----SD---- C:\WINDOWS\Tasks

2009-07-27 18:28:17 ----D---- C:\WINDOWS\Prefetch

2009-07-26 17:35:43 ----D---- C:\Program Files\EA SPORTS

2009-07-25 18:26:15 ----D---- C:\WINDOWS\Minidump

2009-07-23 22:00:46 ----HDC---- C:\Config.Msi

2009-07-23 22:00:45 ----SD---- C:\Documents and Settings\Armel\Application Data\Microsoft

2009-07-23 21:59:16 ----RSD---- C:\WINDOWS\Fonts

2009-07-23 19:15:27 ----D---- C:\WINDOWS\Debug

2009-07-23 18:58:37 ----HD---- C:\Program Files\InstallShield Installation Information

2009-07-23 18:37:34 ----D---- C:\Program Files\Microsoft Silverlight

2009-07-22 22:09:23 ----D---- C:\WINDOWS\network diagnostic

2009-07-22 22:01:08 ----SD---- C:\WINDOWS\Downloaded Program Files

2009-07-22 21:35:02 ----D---- C:\Program Files\myBabylon

2009-07-22 21:35:02 ----D---- C:\Program Files\Conduit

2009-07-22 19:23:36 ----SHC---- C:\boot.ini

2009-07-22 19:23:36 ----A---- C:\WINDOWS\win.ini

2009-07-21 19:19:57 ----DC---- C:\Documents and Settings

2009-07-16 22:38:10 ----D---- C:\WINDOWS\twain_32

2009-07-16 22:32:38 ----HD---- C:\WINDOWS\inf

2009-07-16 22:05:03 ----D---- C:\Program Files\OpenOffice.org 2.4

2009-07-16 22:01:14 ----D---- C:\Program Files\Java

2009-07-16 22:00:05 ----D---- C:\Documents and Settings\Armel\Application Data\OpenOffice.org2

2009-07-16 18:13:31 ----A---- C:\WINDOWS\ModemLog_NetoDragon 56K Voice Modem.txt

2009-07-15 14:57:14 ----HD---- C:\WINDOWS\$hf_mig$

2009-07-15 14:56:38 ----DC---- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2009-07-15 14:55:25 ----A---- C:\WINDOWS\system32\MRT.INI

2009-07-13 20:08:09 ----D---- C:\WINDOWS\system32\Macromed

2009-07-11 11:13:28 ----D---- C:\Program Files\Messenger Plus! Live

2009-07-11 10:43:09 ----D---- C:\Program Files\Internet Explorer

2009-07-09 14:48:56 ----D---- C:\Program Files\SuperMarioPac

2009-07-08 16:12:27 ----A---- C:\WINDOWS\system32\jlplitovilyzadkhe.exe

2009-07-08 15:57:54 ----D---- C:\WINDOWS\system32\fr-fr

2009-07-08 15:57:53 ----D---- C:\WINDOWS\Media

2009-07-08 15:57:53 ----D---- C:\WINDOWS\Help

2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 F-Secure HIPS;F-Secure HIPS Driver; \??\C:\Documents and Settings\Armel\Mes documents\HIPS\drivers\fshs.sys []

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40576]

R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys [2008-12-08 55136]

R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-08-22 98752]

R3 E100B;Intel® PRO Adapter Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2002-09-25 140800]

R3 F-Secure Gatekeeper;F-Secure Gatekeeper; \??\C:\Documents and Settings\Armel\Mes documents\Anti-Virus\minifilter\fsgk.sys []

R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]

R3 MODEMCSA;Périphérique de filtrage de flux Unimodem; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]

R3 Mtlmnt5;Mtlmnt5; C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys [2001-11-29 172708]

R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-04 1897408]

R3 Slntamr;NetoDragon AMR_PCI Driver; C:\WINDOWS\system32\DRIVERS\slntamr.sys [2002-01-29 220432]

R3 SlWdmSup;SlWdmSup; C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys [2001-11-29 33028]

R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-08-23 549672]

R3 usb_rndis;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2008-04-13 12800]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]

S1 NDISRD;NDISRD; C:\WINDOWS\system32\drivers\NDISRD.sys [2009-06-22 24576]

S3 catchme;catchme; \??\C:\DOCUME~1\Armel\LOCALS~1\Temp\catchme.sys []

S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]

S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2007-03-06 49920]

S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2007-03-06 16496]

S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2007-03-06 21568]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]

S3 Mtlstrm;Mtlstrm; C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys [2001-11-29 2383460]

S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]

S3 NAL;Nal Service ; \??\C:\WINDOWS\system32\Drivers\iqvw32.sys []

S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]

S3 NtMtlFax;NtMtlFax; C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys [2001-11-29 607732]

S3 se58bus;Sony Ericsson Device 088 driver (WDM); C:\WINDOWS\system32\DRIVERS\se58bus.sys [2006-09-05 61536]

S3 se58mdfl;Sony Ericsson Device 088 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se58mdfl.sys [2006-09-05 9360]

S3 se58mdm;Sony Ericsson Device 088 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se58mdm.sys [2006-09-05 97088]

S3 se58mgmt;Sony Ericsson Device 088 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se58mgmt.sys [2006-09-05 88624]

S3 se58nd5;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (NDIS); C:\WINDOWS\system32\DRIVERS\se58nd5.sys [2006-09-05 18704]

S3 se58obex;Sony Ericsson Device 088 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se58obex.sys [2006-09-05 86432]

S3 se58unic;Sony Ericsson Device 088 USB Ethernet Emulation SEMC58 (WDM); C:\WINDOWS\system32\DRIVERS\se58unic.sys [2006-09-05 90800]

S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]

S3 SlNtHal;SlNtHal; C:\WINDOWS\system32\DRIVERS\Slnthal.sys [2001-11-29 175160]

S3 SONYPVU1;Pilote de filtrage Sony USB (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]

S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]

S3 usb_rndisx;Carte ISDN USB; C:\WINDOWS\system32\DRIVERS\usb8023x.sys [2008-04-13 12800]

S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]

S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S3 usbser;USB Modem Driver; C:\WINDOWS\system32\DRIVERS\usbser.sys [2008-04-13 26112]

S3 usbvideo;Périphérique vidéo USB (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-13 121984]

S3 V90drv;v90drv; C:\WINDOWS\system32\DRIVERS\v90drv.sys [2001-11-29 1432836]

S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]

S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S3 ZSMC301b;VIMICRO USB PC Camera; C:\WINDOWS\System32\Drivers\usbVM31b.sys []

S4 F-Secure Filter;F-Secure File System Filter; \??\C:\Documents and Settings\Armel\Mes documents\Anti-Virus\Win2K\FSfilter.sys []

S4 F-Secure Recognizer;F-Secure File System Recognizer; \??\C:\Documents and Settings\Armel\Mes documents\Anti-Virus\Win2K\FSrec.sys []

S4 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2006-03-02 12032]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592]

R2 F-Secure Gatekeeper Handler Starter;FSGKHS; C:\Documents and Settings\Armel\Mes documents\Anti-Virus\fsgk32st.exe [2009-03-05 215648]

R2 FSMA;FSMA; C:\Documents and Settings\Armel\Mes documents\Common\FSMA32.EXE [2008-09-23 117400]

R2 hpqddsvc;Service HP CUE DeviceDiscovery; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-07-16 152984]

R2 Net Driver HPZ12;Net Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

R2 NMSAccessU;NMSAccessU; C:\Program Files\Fichiers communs\NMSAccessU.exe [2007-01-25 65536]

R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

R2 ProtexisLicensing;ProtexisLicensing; C:\WINDOWS\system32\PSIService.exe [2006-11-02 174656]

R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512]

R2 SLService;SmartLinkService; C:\WINDOWS\system32\slserv.exe [2001-11-29 45056]

R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [2002-07-15 45056]

R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

R3 FSAUA;F-Secure Automatic Update Agent; C:\Documents and Settings\Armel\Mes documents\FSAUA\program\fsaua.exe [2008-09-23 490080]

R3 FSDFWD;F-Secure Anti-Virus Firewall Daemon; C:\Documents and Settings\Armel\Mes documents\FWES\Program\fsdfwd.exe [2008-09-23 510560]

R3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

S3 AresChatServer;Ares Chatroom server; C:\Program Files\Ares\chatServer.exe [2007-03-20 263168]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]

S3 FSORSPClient;F-Secure ORSP Client; C:\Documents and Settings\Armel\Mes documents\ORSP Client\fsorsp.exe [2008-09-23 55904]

S3 fsssvc;Windows Live Contrôle parental; C:\Program Files\Windows Live\Family Safety\fsssvc.exe [2008-12-08 533344]

S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]

S3 NetSvc;Intel NCS NetService; c:\Program Files\Intel\NCS\Sync\NetSvc.exe [2002-09-27 139264]

S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776]

S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]

 

-----------------EOF-----------------

 

 

Bonne soirée à tous

[Thanos]

salut Armel

 

2- Après la fin de Combofix et du rapport .Log, j'ai pu enfin installer "Malwerbytes Antimalware", opération impossible jusque là avant Combofix. J'ai lancé l'analyse du système et avec la clé USB insérée (durée 2 heures d'analyse alors que sur mon portable qui est plutôt récent sur Vista, ça a duré 1h05 min).

Tu as pu lancer un scan avec MBAM sur ce pc ? j'aurais bien aimé voir le rapport pour voir ce qu'il a trouvé car il y a quelques restes à supprimer.

 

Des infos sur deux infections présentes (une d'elle est supprimée): pas du genre méchante, mais plutôt pénibles car elles ralentissent le surf et affichent des pubs intempestives.

 

1) L'infection navipromo était présente sur le pc et a été supprimée par ComboFix. Elle est véhiculée par des logiciels qu'il faut fuir absolument!! Dans ton cas c'est l'installation de webmediaplayer qui a lancé l'infection.

Voici une liste non exhaustive de ces programmes pour ne pas tomber dans le piège à nouveau >

• Funky Emoticons
  
• Games-AttacK
  
• Original-Solitaire
  
• go-astro
  
• Live-Player
  
• GoRecord
  
• HotTVPlayer
  
• MailSkinner
  
• Messenger Skinner
  
• Instant Access
  
• InternetGameBox
  
• sudoplanet
  
• Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/
  

D'une manière générale, méfie toi des utilitaires que tu télécharges!! Utilise Google pour voir si ce n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur webmediaplayer et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....

Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php

 

2) L'infection CID est encore présente: on la crée nous même sans le savoir lors de l'installation de MessengerPlus! 3. (et de certains programmes du type BitTorrent)

Lorsque tu installes ce programme, il ne faut surtout pas accepter les sponsors > il faut cocher le bouton radio "Je refuse d'apporter mon soutien...."

 

Un dernier petit détail qui je pense n'a rien à avoir avec une infection mais plutôt IE7 endommagé, j'ai toujours le message suivant à l'ouverture de IE7 + bloquage du système si je clique sur une des 2 options

Passe par le Panneau de Configuration >> Options Internet >> clique sur l'onglet Avancés. Clique sur le bouton Paramètres par défaut. Clique ensuite sur l'onglet Programmes puis sur le bouton Rétablir les paramètres Web.

Relance IE et dis moi si le problème persiste

 

*******

 

Désactive ton antivirus temporairement le temps du scan.

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/049048

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de Armel : Vous ne devez en aucun cas l'utiliser sur votre pc!

[Armel]

salut Armel

 

 

Tu as pu lancer un scan avec MBAM sur ce pc ? j'aurais bien aimé voir le rapport pour voir ce qu'il a trouvé car il y a quelques restes à supprimer.

 

Des infos sur deux infections présentes (une d'elle est supprimée): pas du genre méchante, mais plutôt pénibles car elles ralentissent le surf et affichent des pubs intempestives.

 

1) L'infection navipromo était présente sur le pc et a été supprimée par ComboFix. Elle est véhiculée par des logiciels qu'il faut fuir absolument!! Dans ton cas c'est l'installation de webmediaplayer qui a lancé l'infection.

Voici une liste non exhaustive de ces programmes pour ne pas tomber dans le piège à nouveau >

• Funky Emoticons
  
• Games-AttacK
  
• Original-Solitaire
  
• go-astro
  
• Live-Player
  
• GoRecord
  
• HotTVPlayer
  
• MailSkinner
  
• Messenger Skinner
  
• Instant Access
  
• InternetGameBox
  
• sudoplanet
  
• Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/
  

D'une manière générale, méfie toi des utilitaires que tu télécharges!! Utilise Google pour voir si ce n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur webmediaplayer et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....

Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php

 

2) L'infection CID est encore présente: on la crée nous même sans le savoir lors de l'installation de MessengerPlus! 3. (et de certains programmes du type BitTorrent)

Lorsque tu installes ce programme, il ne faut surtout pas accepter les sponsors > il faut cocher le bouton radio "Je refuse d'apporter mon soutien...."

 

 

Passe par le Panneau de Configuration >> Options Internet >> clique sur l'onglet Avancés. Clique sur le bouton Paramètres par défaut. Clique ensuite sur l'onglet Programmes puis sur le bouton Rétablir les paramètres Web.

Relance IE et dis moi si le problème persiste

 

*******

 

Désactive ton antivirus temporairement le temps du scan.

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/049048

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de Armel : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

Bonjour le Forum, bonjour Thanos,

 

J'ai bien lancé et enregistré un rapport avec MBAM, je vous l'enverrai après ma prochaine visite chez mon frère, je pense d'ici demain.

 

Merci pour vos conseils de navigation sur le Web que je transmettrai à mon frères, j'ai également ces réflèxes, par ex. de consulter Google et les forum avant de télécharger un programme, de ne pas cocher certains services (soutien au site)...

 

De plus je ne suis pas étonné qu'il ait attrapé toutes ces infections car le niveau de sécurité Internet était au plus bas (cookies..) + mot de passe Windows trés simple et pas du tout renforcé....

 

Je procéderai donc à CFScript d'ici demain.

 

Merci encore pour votre aide,

 

Bonne journée à tous.

Modifié le 28 juillet 2009 par Armel

[Armel]

Bonsoir le Forum, bonsoir Thanos,

 

voilà pour la suite de l'analyse, avant tout, concernant mon message d'erreur d''IE, votre proposition ci-dessous a bien fonctionné et je vous en remercie.

Finalement, il s'agissaît que de paramètres d'IE, je pensais au pire avec des fichiers systèmes ou clés de registre supprimés. C'était impressionnant le nombre de fenêtres IE qui s'ouvrait à une grande vitesse !!! (une 60 taine l'autre jour).

 

Mais, je note encore une petite lenteur dans le démarrage et la navigation d'IE (c'est peut-être une impression car ma navigation est ultra rapide à coté). Par contre, Google Chrome est plus rapide !!!

 

Cependant, je n'ai pas eu trop l'occasion de m'attarder sur IE mais je demanderai la prochaine fois ce que mon frère en pense par rapport à d'habitude.

 

Passe par le Panneau de Configuration >> Options Internet >> clique sur l'onglet Avancés. Clique sur le bouton Paramètres par défaut. Clique ensuite sur l'onglet Programmes puis sur le bouton Rétablir les paramètres Web.

Relance IE et dis moi si le problème persiste

 

Sinon, comme convenu, j'ai procédé également à l'éxécution du fichier CFScript en le déposant dans Combofix, voici le rapport :

 

=============================================================

 

ComboFix 09-07-27.04 - Armel 28/07/2009 18:26.2.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.632 [GMT 2:00]

Running from: c:\documents and settings\Armel\Bureau\Armel.exe

Command switches used :: c:\documents and settings\Armel\Bureau\CFScript.txt

AV: Pack sécurité 8.00 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}

FW: Pack sécurité 8.00 *disabled* {D4747503-0346-49EB-9262-997542F79BF4}

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

"c:\windows\tasks\BDB59BF191DA117D.job"

 

file zipped: c:\windows\system32\jlplitovilyzadkhe.exe

file zipped: c:\windows\system32\nsn303.dll

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\dumb pure bind support

c:\documents and settings\All Users\Application Data\dumb pure bind support\1 mix.dat

c:\program files\Circle Developement

c:\program files\Conduit

c:\windows\system32\jlplitovilyzadkhe.exe

c:\windows\system32\nsn303.dll

c:\windows\tasks\BDB59BF191DA117D.job

 

.

((((((((((((((((((((((((( Files Created from 2009-06-28 to 2009-07-28 )))))))))))))))))))))))))))))))

.

 

2009-07-27 20:24 . 2009-07-27 20:24 -------- d-----w- c:\program files\CCleaner

2009-07-27 17:22 . 2009-07-27 17:22 -------- d-----w- c:\documents and settings\Armel\Application Data\Malwarebytes

2009-07-27 17:22 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-27 17:22 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-27 16:01 . 2009-07-27 19:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-07-25 16:13 . 2009-07-25 16:13 94 ----a-w- c:\documents and settings\Armel\keywords.dat

2009-07-25 15:11 . 2009-07-25 15:11 -------- dc----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-07-24 20:35 . 2009-07-24 20:35 -------- dc----w- c:\documents and settings\LocalService\Application Data\iolo

2009-07-24 20:34 . 2009-07-24 20:36 -------- dc----w- c:\documents and settings\All Users\Application Data\iolo

2009-07-24 20:34 . 2009-07-24 20:36 -------- d-----w- c:\documents and settings\Armel\Application Data\iolo

2009-07-24 17:19 . 2009-07-24 17:19 -------- dcsh--w- c:\documents and settings\NetworkService\IETldCache

2009-07-23 20:00 . 2009-07-23 20:00 7424000 ----a-r- c:\documents and settings\Armel\Application Data\Microsoft\Installer\{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}\soffice.exe

2009-07-23 19:58 . 2009-07-23 19:58 -------- d-----w- c:\program files\JRE

2009-07-23 17:31 . 2009-07-27 19:55 -------- d-----w- c:\program files\trend micro

2009-07-23 17:31 . 2009-07-23 17:40 -------- dc----w- C:\rsit

2009-07-22 20:08 . 2009-07-22 20:08 -------- dcsh--w- c:\documents and settings\Jacques.Armel-135280922\IECompatCache

2009-07-22 19:31 . 2009-07-22 19:35 -------- d-----w- c:\documents and settings\Armel\Local Settings\Application Data\Conduit

2009-07-22 17:14 . 2009-07-25 15:50 -------- dc----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-07-21 18:00 . 2009-07-21 18:00 -------- dc----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Adobe

2009-07-21 17:58 . 2009-07-21 17:58 -------- dc----w- c:\documents and settings\Administrateur\Application Data\Sony Ericsson

2009-07-21 17:57 . 2009-07-21 17:57 -------- dcsh--w- c:\documents and settings\Administrateur\PrivacIE

2009-07-21 17:20 . 2009-07-21 17:20 -------- dcsh--w- c:\documents and settings\Administrateur\IETldCache

2009-07-21 16:58 . 2009-07-21 16:58 -------- d-sh--w- c:\documents and settings\Armel\IECompatCache

2009-07-21 16:50 . 2009-07-21 16:50 -------- dc----w- c:\documents and settings\All Users\Application Data\Messenger Plus!

2009-07-21 16:49 . 2009-07-21 16:49 -------- d-sh--w- c:\documents and settings\Jacques.Armel-135280922\IETldCache

2009-07-20 11:28 . 2009-07-20 11:28 -------- d-----w- c:\program files\InterActive Vision

2009-07-16 20:19 . 2009-07-27 21:33 1 ----a-w- c:\documents and settings\Armel\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-07-16 20:19 . 2009-07-16 20:19 -------- d-----w- c:\documents and settings\Armel\Application Data\OpenOffice.org

2009-07-16 20:07 . 2009-07-23 19:58 -------- d-----w- c:\program files\OpenOffice.org 3

2009-07-16 20:01 . 2009-07-16 20:01 410984 ----a-w- c:\windows\system32\deploytk.dll

2009-07-16 16:08 . 2009-07-16 16:08 -------- dcsh--w- c:\documents and settings\Jacques.Armel-135280922\PrivacIE

2009-07-16 16:06 . 2008-12-14 16:22 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922\Local Settings\Application Data\Microsoft Help

2009-07-16 16:06 . 2007-09-13 16:07 -------- dc-h--w- c:\documents and settings\Jacques.Armel-135280922\Voisinage réseau

2009-07-16 16:06 . 2007-09-13 16:07 -------- dc-h--w- c:\documents and settings\Jacques.Armel-135280922\Voisinage d'impression

2009-07-16 16:06 . 2007-09-13 16:07 -------- dc----r- c:\documents and settings\Jacques.Armel-135280922\Menu Démarrer

2009-07-16 16:06 . 2007-09-13 14:14 -------- dc-h--w- c:\documents and settings\Jacques.Armel-135280922\Modèles

2009-07-16 16:06 . 2009-07-22 20:08 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922

2009-07-14 19:28 . 2009-07-14 19:28 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2009-07-11 08:42 . 2009-07-11 08:42 -------- d-----w- c:\windows\ie8updates

2009-07-09 12:57 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2009-07-09 12:57 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2009-07-08 14:13 . 2009-07-08 14:13 -------- d-sh--w- c:\documents and settings\Armel\PrivacIE

2009-07-08 14:11 . 2009-07-08 14:11 -------- d-sh--w- c:\documents and settings\Armel\IETldCache

2009-07-08 13:52 . 2009-07-08 13:55 -------- dc-h--w- c:\windows\ie8

2009-07-08 13:35 . 2009-07-08 14:14 -------- dc----w- c:\documents and settings\Jacques

2009-07-07 11:03 . 2009-06-30 07:41 28672 ----a-w- c:\windows\system32\NFUninstall.exe

2009-07-07 11:03 . 2009-05-14 09:58 61440 ----a-w- c:\windows\system32\ndisapi.dll

2009-07-07 11:03 . 2009-06-22 14:58 24576 ----a-w- c:\windows\system32\drivers\ndisrd.sys

2009-07-07 11:02 . 2009-07-07 11:02 -------- d-----w- c:\program files\Fichiers communs\Uninstall

2009-07-07 11:02 . 2009-07-15 12:55 -------- d-----w- c:\program files\PersonalAV

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-28 09:16 . 2008-05-02 19:28 -------- d-----w- c:\program files\EA SPORTS

2009-07-27 18:44 . 2008-01-09 21:50 -------- d-----w- c:\documents and settings\Armel\Application Data\sendactivesoap

2009-07-27 16:37 . 2007-10-13 09:34 -------- d-----w- c:\program files\Google

2009-07-24 16:51 . 2008-09-12 21:01 84456 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT

2009-07-23 16:58 . 2007-09-13 15:06 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-07-23 16:37 . 2008-12-24 15:47 -------- d-----w- c:\program files\Microsoft Silverlight

2009-07-22 19:35 . 2008-05-19 18:05 -------- d-----w- c:\program files\myBabylon

2009-07-21 16:51 . 2008-10-31 13:57 84456 ----a-w- c:\documents and settings\Jacques.Armel-135280922\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-07-16 20:48 . 2008-11-30 22:34 160068 ----a-w- c:\windows\hpoins15.dat

2009-07-16 20:05 . 2008-09-12 20:16 -------- d-----w- c:\program files\OpenOffice.org 2.4

2009-07-16 20:01 . 2007-09-13 15:10 -------- d-----w- c:\program files\Java

2009-07-16 20:00 . 2007-09-16 14:29 -------- d-----w- c:\documents and settings\Armel\Application Data\OpenOffice.org2

2009-07-16 19:01 . 2008-09-12 20:31 1 ----a-w- c:\documents and settings\Armel\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys

2009-07-16 16:07 . 2009-07-16 16:07 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922\Application Data\Teleca

2009-07-16 16:07 . 2009-07-16 16:07 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922\Application Data\Sony Ericsson

2009-07-15 12:56 . 2008-12-13 23:12 -------- dc----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-07-11 09:13 . 2007-10-28 16:07 -------- d-----w- c:\program files\Messenger Plus! Live

2009-07-09 12:48 . 2009-06-16 17:03 -------- d-----w- c:\program files\SuperMarioPac

2009-07-08 09:41 . 2009-01-24 14:29 33920 ----a-w- c:\windows\system32\drivers\fsbts.sys

2009-06-16 14:40 . 2006-03-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-16 14:40 . 2006-03-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-08 19:12 . 2008-11-25 17:57 -------- dc----w- c:\documents and settings\Jacques.Armel-135280922\Application Data\OpenOffice.org2

2009-06-06 18:52 . 2008-11-30 00:16 -------- d-----w- c:\program files\AutoCAD LT 2000

2009-06-06 13:53 . 2007-12-21 15:50 -------- d-----w- c:\program files\ALCATEL PC Suite

2009-06-06 13:51 . 2008-07-03 08:40 -------- d-----w- c:\program files\ICQToolbar

2009-06-06 13:46 . 2007-10-30 10:28 -------- d-----w- c:\program files\LimeWire

2009-06-03 19:10 . 2006-03-02 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-05-13 05:04 . 2006-03-02 12:00 915456 ----a-w- c:\windows\system32\wininet.dll

2009-05-07 15:33 . 2006-03-02 12:00 348672 ----a-w- c:\windows\system32\localspl.dll

2007-01-25 02:52 . 2007-01-25 02:52 65536 ----a-w- c:\program files\Fichiers communs\NMSAccessU.exe

2008-05-03 20:09 . 2008-04-22 20:28 88 --sh--r- c:\windows\system32\131FBFDF4F.sys

2008-05-03 20:11 . 2008-04-22 20:28 2828 --sha-w- c:\windows\system32\KGyGaAvL.sys

.

 

((((((((((((((((((((((((((((( SnapShot@2009-07-27_16.53.34 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-07-28 16:16 . 2009-07-28 16:16 16384 c:\windows\Temp\Perflib_Perfdata_670.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"ares"="c:\program files\Ares\Ares.exe" [2008-02-20 963072]

"Google Update"="c:\documents and settings\Armel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-05-07 133104]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 32768]

"Adobe Photo Downloader"="c:\program files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe" [2007-11-05 61440]

"F-Secure Manager"="c:\documents and settings\Armel\Mes documents\Common\FSM32.EXE" [2008-09-23 182936]

"F-Secure TNB"="c:\documents and settings\Armel\Mes documents\FSGUI\TNBUtil.exe" [2008-09-23 957024]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-12-08 185872]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"gusvc"=3 (0x3)

"gupdate1c9bb69e4d251de"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Ares\\Ares.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\enes57500\\counter-strike\\hl.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\enes57500\\condition zero\\hl.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Documents and Settings\\Armel\\Bureau\\enes\\steam\\steamapps\\enes57500\\counter-strike\\hl.exe"=

"c:\\Documents and Settings\\Armel\\Bureau\\enes\\steamapps\\enes57500\\counter-strike\\hl.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"8085:TCP"= 8085:TCP:sfx

 

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [24/01/2009 16:29 33920]

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [21/06/2008 23:28 79904]

R1 F-Secure HIPS;F-Secure HIPS Driver;c:\documents and settings\Armel\Mes documents\HIPS\drivers\fshs.sys [24/01/2009 16:15 66720]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [24/12/2008 17:46 55136]

R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\documents and settings\Armel\Mes documents\Anti-Virus\minifilter\fsgk.sys [21/06/2008 23:21 99960]

S3 FSORSPClient;F-Secure ORSP Client;c:\documents and settings\Armel\Mes documents\ORSP Client\fsorsp.exe [24/01/2009 16:15 55904]

S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [08/12/2008 18:01 533344]

S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [29/11/2001 16:10 1432836]

S4 F-Secure Filter;F-Secure File System Filter;c:\documents and settings\Armel\Mes documents\Anti-Virus\win2k\fsfilter.sys [21/06/2008 23:21 39776]

S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\documents and settings\Armel\Mes documents\Anti-Virus\win2k\fsrec.sys [21/06/2008 23:21 25184]

 

--- Other Services/Drivers In Memory ---

 

*Deregistered* - NDISRD

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Contents of the 'Scheduled Tasks' folder

 

2009-07-14 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2009-07-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1220945662-602162358-682003330-1004Core.job

- c:\documents and settings\Armel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-26 13:23]

 

2009-07-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1220945662-602162358-682003330-1004UA.job

- c:\documents and settings\Armel\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-26 13:23]

 

2009-07-28 c:\windows\Tasks\Scheduled scanning task.job

- c:\docume~1\Armel\MESDOC~1\ANTI-V~1\fsav.exe [2008-06-21 13:35]

.

- - - - ORPHANS REMOVED - - - -

 

Toolbar-Locked - (no file)

 

 

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.neufportail.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

LSP: c:\documents and settings\Armel\Mes documents\FSPS\program\fslsp.dll

.

 

**************************************************************************

 

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-28 18:34

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]

"Name"="ActiveSync"

"DisplayName"="Microsoft ActiveSync"

"Param1"="ActiveSync"

"Type"="wellknown"

"Order"=dword:00000001

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]

"Name"="IESettings"

"Type"="IESettings"

"Order"=dword:00000004

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]

"Name"="MediaFiles"

"Type"="MediaFiles"

"Order"=dword:00000003

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]

"Name"="NPW"

"Param1"="NPW"

"Type"="wellknown"

"Order"=dword:00000002

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]

"Name"="Outlook"

"DisplayName"="Microsoft Outlook"

"Param1"="Outlook"

"Type"="wellknown"

"Order"=dword:00000000

"State"=dword:0000000b

 

[HKEY_USERS\S-1-5-21-1220945662-602162358-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:98,ae,a6,2d,e9,49,b5,c2,71,4c,c5,46,ef,d5,42,07,64,c2,4f,1a,64,db,d2,

0f,25,40,2a,fd,b5,ec,51,bd,f7,a1,6e,5f,85,b9,d4,ca,98,30,c0,72,57,f8,32,a9,\

"??"=hex:4f,2c,af,47,cb,47,eb,2a,9c,a5,9a,fb,c7,88,09,a9

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(768)

c:\documents and settings\Armel\Mes documents\FWES\Program\fsdc32.dll

 

- - - - - - - > 'lsass.exe'(824)

c:\documents and settings\Armel\Mes documents\FSPS\program\fslsp.dll

c:\documents and settings\Armel\Mes documents\FWES\Program\fsdc32.dll

 

- - - - - - - > 'csrss.exe'(624)

c:\documents and settings\Armel\Mes documents\FWES\Program\fsdc32.dll

.

Completion time: 2009-07-28 18:37

ComboFix-quarantined-files.txt 2009-07-28 16:37

ComboFix2.txt 2009-07-27 17:01

 

Pre-Run: 38 168 653 824 octets libres

Post-Run: 38 178 418 688 octets libres

 

260 --- E O F --- 2009-07-22 21:06

Upload was successful

 

===================================================

 

Je vous transmets comme souhaité les 2 rapports de MBAM retrouvés dans l'onglet "Rapports/logs" mais j'ai pas l'impression qu'il ne s'agit pas du fichier attendu. J'ai également recherché dans le répertoir où se trouvent toutes les icônes du programme MBAM mais je n'ai pas trouvé d'extension de fichier ".log"

 

De plus, les 21 fichiers infectés que MBAM annoncait en fin d'analyse ne se trouvent pas en quarantaine, peut-être qu'ils ont été supprimés directement !!

 

Je me souviens également d'un message du type "préparation du rapport...." alors que l'analyse était terminée. J'ai patienté 5 bonnes minutes (en plus des 2 heures d'analyse) pour fermer la fenêtre MBAM et ignorer le message du genre "voulez-vous vraiment quitter alors que le rapport....?"

 

=================================

1er rapport :

 

 

Malwarebytes' Anti-Malware 1.39

Version de la base de données: 2512

Windows 5.1.2600 Service Pack 3

 

27/07/2009 22:18:41

mbam-log-2009-07-27 (22-18-41).txt

 

Type de recherche: Examen rapide

Eléments examinés: 1

Temps écoulé: 3 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

======

2ème rapports :

 

Malwarebytes' Anti-Malware 1.39

Version de la base de données: 2512

Windows 5.1.2600 Service Pack 3

 

27/07/2009 22:20:04

mbam-log-2009-07-27 (22-20-04).txt

 

Type de recherche: Examen rapide

Eléments examinés: 12

Temps écoulé: 5 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

========

 

Merci et bonne soirée

 

 

P.S : après ceci, pourrais-je désinstaller Combofix voire Rsit (mais peut-être que Rsit pourra toujours servir un jpur !!!), pour que le 1er ne soit pas exécuté par mon frère ou d'autres. Je pense qu'il n'est pas trés conseillé de l'utiliser en toute circonstance ???Merci d'avance

 

Slts

[Thanos]

salut

 

Le dernier rapport ne montre rien de mauvais

Juste un fichier que j'aimerais que tu soumettes à un scan en ligne (c'est très rapide) >>

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> c:\windows\system32\drivers\ndisrd.sys

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

P.S : après ceci, pourrais-je désinstaller Combofix voire Rsit (mais peut-être que Rsit pourra toujours servir un jpur !!!), pour que le 1er ne soit pas exécuté par mon frère ou d'autres. Je pense qu'il n'est pas trés conseillé de l'utiliser en toute circonstance ???Merci d'avance

Oui Armel, je fait systématiquement désinstaller/supprimer tous les programmes de ce type dès que la désinfection est terminée. D'une part parce que le programme ne doit pas être exécuté n'importe comment comme tu dis, mais aussi parce que ces outils, crées par des confrères, sont constamment mis à jour: une version non à jour ne serait d'aucune utilité face aux infections récentes d'une part, et pourrait même s'avérer dangereuses parfois... Enfin certains programmes (ComboFix en fait partie) comportent des éléments qui sont détectés (à tord dans ce cas précis) comme des infection ! Du coup >>

 

Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

Pour ce qui est de RSIT, à toi de voir: il ne prends pas de place sur le disque dur pour ainsi dire, mais tu peux aussi le supprimer si tu veux. Pour cela, élimine le dossier C:\rsit ainsi que le fichier RSIT.exe sur le Bureau.

 

Un petit nettoyage après ca >>

 

On va utiliser un petit programme que tu vas pouvoir conserver et qui sert à faire le nettoyage des fichiers inutiles (fichiers temporaires/cookies/cache internet etc...). Conserve le car tu pourras l'utiliser par la suite.

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Double-clique sur ATF Cleaner afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Si tu utilises le navigateur Firefox :
   
   
  
• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Si tu utilises le navigateur Opera :
   
   
  
• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

Poste le rapport de VirusTotal stp

[Armel]

Bonsoir le Forum, bonsoir Thanos,

 

Comme souhaité, voici le résultat du fichier "système" analysé avec "Virustotal"

 

J'ai fait faire l'analyse à distance par téléphone et fait transmettre le rapport sous Bloc-notes. J'ai remis en place les différentes colonnes du tableau.

 

Idem, pour la désinstallation de ComboFix par téléphone, a priori c'est bon, plus d'icône sur le bureau. Mais tout de même pendant la désinstallation un message en Anglais et en rapport avec le "Pack Sécurité Neuf". Mon frère ne comprenant pas l'Anglais, j'ai demandé de cliquer sur "OK" !!

Fallait-il désactiver le Pack Sécurité avant la d"sinstallation ?

 

Voici le rapport, il y a 2 analyses sur 40 "Anti-virus", qui considèrent le fichier comme un possible virus !!

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.07.29 Win32.SuspectCrc!IK

AhnLab-V3 5.0.0.2 2009.07.29 -

AntiVir 7.9.0.234 2009.07.29 -

Antiy-AVL 2.0.3.7 2009.07.29 -

Authentium 5.1.2.4 2009.07.28 -

Avast 4.8.1335.0 2009.07.29 -

AVG 8.5.0.387 2009.07.29 -

BitDefender 7.2 2009.07.29 -

CAT-QuickHeal 10.00 2009.07.28 -

ClamAV 0.94.1 2009.07.29 -

Comodo 1807 2009.07.29 -

DrWeb 5.0.0.12182 2009.07.29 -

eSafe 7.0.17.0 2009.07.29 -

eTrust-Vet 31.6.6645 2009.07.29 -

F-Prot 4.4.4.56 2009.07.28 -

F-Secure 8.0.14470.0 2009.07.29 -

Fortinet 3.120.0.0 2009.07.29 -

GData 19 2009.07.29 -

Ikarus T3.1.1.64.0 2009.07.29 Win32.SuspectCrc

Jiangmin 11.0.800 2009.07.29 -

K7AntiVirus 7.10.805 2009.07.29 -

Kaspersky 7.0.0.125 2009.07.29 -

McAfee 5692 2009.07.29 -

McAfee+Artemis 5692 2009.07.29 -

McAfee-GW-Edition 6.8.5 2009.07.29 -

Microsoft 1.4903 2009.07.29 -

NOD32 4289 2009.07.29 -

Norman 6.01.09 2009.07.29 -

nProtect 2009.1.8.0 2009.07.29 -

PCTools 4.4.2.0 2009.07.29 -

Prevx 3.0 2009.07.29 -

Rising 21.40.24.00 2009.07.29 -

Sophos 4.44.0 2009.07.29 -

Sunbelt 3.2.1858.2 2009.07.29 -

Symantec 1.4.4.12 2009.07.29 -

TheHacker 6.3.4.3.377 2009.07.29 -

TrendMicro 8.950.0.1094 2009.07.29 -

VBA32 3.12.10.9 2009.07.29 -

ViRobot 2009.7.29.1859 2009.07.29 -

VirusBuster 4.6.5.0 2009.07.29 -

 

Information additionnelle

File size: 24576 bytes

MD5...: 1a18f436e4855572260580f4d42c69e8

SHA1..: cd4ed9706e2b725e85125ce0b02ae01096315ea4

SHA256: 2d2aaf7a8b97cca6282c220a3c7656b52a03d9f6dd9fe18093c8a52e4d276986

ssdeep: 384:3IRbTJ9WWiqrPO84fngG+Yf7muKxfeZJ6y3BAc7YaaNRc1Xme1bVTTX:Yf9W

q284b9zRKxfeZJ6yR7sFADbB

 

PEiD..: -

TrID..: File type identification

Win16/32 Executable Delphi generic (25.4%)

Clipper DOS Executable (24.8%)

Generic Win/DOS Executable (24.6%)

DOS Executable Generic (24.6%)

VXD Driver (0.3%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x5170

timedatestamp.....: 0x4a0bea66 (Thu May 14 09:54:46 2009)

machinetype.......: 0x14c (I386)

 

( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x480 0x4464 0x4480 6.30 86ca59f71ea21261814d3f5094509d42

.rdata 0x4900 0x1d8 0x200 3.81 4363d16b6c6ccbabb8794c9a27c4c6a4

.data 0x4b00 0x94 0x100 0.45 ce8d7f1a5262ee7660ebbc8b759377a8

INIT 0x4c00 0xa74 0xa80 6.05 60fe6a0a252994ffad3bd7738a665781

.rsrc 0x5680 0x410 0x480 3.04 fe508b21c4d119f60034e5e19f9dde35

.reloc 0x5b00 0x4fa 0x500 6.32 b93df503be518dfcebe6df689df23147

 

( 3 imports )

> ntoskrnl.exe: KeSetEvent, RtlEqualUnicodeString, PsGetVersion, RtlUnicodeStringToAnsiString, RtlTimeFieldsToTime, RtlInitUnicodeString, _alldiv, IoFreeMdl, MmMapLockedPages, RtlUnwind, IoCreateDevice, RtlQueryRegistryValues, IoCreateSymbolicLink, InterlockedIncrement, InterlockedDecrement, IofCompleteRequest, ExEventObjectType, ObReferenceObjectByHandle, InterlockedExchange, ZwQuerySystemInformation, ExAllocatePoolWithTag, strchr, _stricmp, ExFreePool, ObfDereferenceObject, KeQuerySystemTime, KeInitializeSpinLock

> HAL.dll: KfReleaseSpinLock, KfLowerIrql, KeRaiseIrqlToDpcLevel, KfAcquireSpinLock

> NDIS.SYS: NdisFreeBufferPool, NdisAllocateMemory, NdisUnchainBufferAtFront, NdisFreeMemory, NdisAllocateBufferPool, NdisFreePacketPool, NdisAllocateBuffer, NdisAllocatePacket, NdisCopyFromPacketToPacket, NdisAllocatePacketPool, NdisFreePacket

 

( 0 exports )

 

PDFiD.: -

RDS...: NSRL Reference Data Set

-

 

Merci d'avance

 

Bonne soirée à tous.