total secutity

pear · le 4 septembre 2009

Essayez en mode normal.

Autre possibilité:

Supprimez Combofix sur votre bureau.

Réléchargez une copie fraiche que vous allez renommer avant de le lancer:

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....bitruc

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir ->bitruc.com

Cliquez enfin sur -> Enregistrer

Lancez bitruc.com

En cas de problème, :

méthode illustrée

Modifié le 4 septembre 2009 par pear

fran56 · le 4 septembre 2009

le fait de l'avoir renommé avec des chiffres m'a permi de le lancer ....

maintenant il déroule mais je n'en suis qu'à l'étape 10 et cela semble long.

par contre le programme bloque ce que me faisait le virus au bout d'une vingtaine de minutes.... la page bloquante s'affiche mais comboxfix passe quand même....

je vous tiens (ou te tient) au courant de la suite....

une question quand même est-ce que combofix peut se bloquer et si oui faut-il relancer le programme?

merci pour l'aide

Mark · le 4 septembre 2009

Salut Fran

Je surveille ça avec pear.

ComboFix peut se bloquer, ça dépend des infections et de l'état de la machine. Par contre, patiente au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), tu peux le fermer en cliquant le "X" au haut à droite de la fenêtre.

@+

fran56 · le 4 septembre 2009

voilà tout s'est bien passé et apparement le passage de combofix a complètement bloqué total security.

pendant que combofix passait au fur et à mesure j'ai récupéré mon environnement de bureau,les messages du virus ont disparus.

le pc a redémarré sans que je puisse accéder au compte rendu de combofix mais sans que le virus ne fasse une apparition.

même macafee a démarré tout seul.

je n'ai pas retrouvé dans c documentsandsetting allusers le fichier chiffré qui pouvait correpondre (date et erreur) à l'apparition du virus.

cependant comme je me méfie je soumets à votre sagavité le rapport que j'ai obtenu en relançant combofix (rebaptisé pour l'occasion avec ma date de naissance en chiffre).

merci pour l'aide déja apportée et peut-être celle à venir..

ComboFix 09-09-03.02 - Maison 04/09/2009 17:58.4.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.619 [GMT 2:00]

Running from: c:\documents and settings\Maison\Bureau\23121957.exe

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((( Files Created from 2009-08-04 to 2009-09-04 )))))))))))))))))))))))))))))))

.

2009-09-04 14:59 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

2009-09-03 21:09 . 2009-09-03 21:09 -------- d-----w- c:\program files\Panda Security

2009-09-03 06:34 . 2009-09-04 14:48 -------- dc----w- c:\documents and settings\All Users\Application Data\total security

2009-09-03 06:34 . 2009-09-03 06:34 -------- d-----w- c:\documents and settings\Maison\Local Settings\Application Data\perfdm32

2009-09-03 06:33 . 2009-09-03 07:41 -------- d-----w- c:\documents and settings\Maison\Application Data\MSA

2009-09-02 22:39 . 2009-09-04 14:01 -------- d-----w- C:\DISKD

2009-09-02 10:08 . 2009-09-02 10:08 -------- d-----w- c:\program files\Lavalys

2009-08-30 12:01 . 2009-08-30 12:01 -------- d-----w- c:\program files\PowerISO

2009-08-25 18:01 . 2009-08-25 18:01 -------- d-----w- c:\documents and settings\Maison\Application Data\Juniper Networks

2009-08-25 18:01 . 2009-08-25 18:01 -------- dc----w- c:\documents and settings\All Users\Application Data\Juniper Networks

2009-08-23 14:59 . 2009-08-23 15:42 -------- d-----w- C:\MP3²

2009-08-15 08:22 . 2009-08-15 08:22 -------- d-----w- c:\windows\system32\XPSViewer

2009-08-15 08:22 . 2009-08-15 08:22 -------- d-----w- c:\program files\MSBuild

2009-08-15 08:22 . 2009-08-15 08:22 -------- d-----w- c:\program files\Reference Assemblies

2009-08-15 08:21 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-08-15 08:21 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-08-15 08:21 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-08-15 08:21 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-08-15 08:21 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2009-08-15 08:21 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2009-08-15 08:21 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-08-15 08:20 . 2009-08-15 08:42 -------- d-----w- c:\windows\SxsCaPendDel

2009-08-10 16:35 . 2009-02-09 06:37 7808 ----a-w- c:\windows\system32\drivers\usbser_lowerflt.sys

2009-08-10 16:35 . 2009-02-09 06:37 22016 ----a-w- c:\windows\system32\drivers\ccdcmbo.sys

2009-08-10 16:35 . 2009-02-09 06:37 659968 ----a-w- c:\windows\system32\nmwcdcocls.dll

2009-08-10 16:35 . 2009-02-09 06:37 17664 ----a-w- c:\windows\system32\drivers\ccdcmb.sys

2009-08-10 16:35 . 2009-02-09 06:32 1112288 ----a-w- c:\windows\system32\wdfcoinstaller01007.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-04 14:06 . 2002-09-07 00:00 539750 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-04 14:06 . 2002-09-07 00:00 98614 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-04 14:06 . 2008-08-28 16:45 48468 ----a-w- c:\windows\system32\perfc040.dat

2009-09-04 14:06 . 2008-08-28 16:45 367280 ----a-w- c:\windows\system32\perfh040.dat

2009-09-03 06:48 . 2008-09-05 07:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-02 12:16 . 2008-05-18 20:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater

2009-09-02 10:24 . 2008-09-28 09:47 -------- d-----w- c:\program files\ERUNT

2009-08-30 12:02 . 2005-10-29 20:52 -------- d-----w- c:\documents and settings\Maison\Application Data\Azureus

2009-08-24 19:14 . 2005-10-29 20:51 -------- d-----w- c:\program files\Azureus

2009-08-24 16:37 . 2005-09-10 11:56 36920 -c--a-w- c:\documents and settings\Maison\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-08-22 17:23 . 2008-07-03 15:38 -------- d-----w- c:\program files\devolo

2009-08-22 17:23 . 2005-09-11 09:32 -------- d-----w- c:\program files\Winamp

2009-08-22 17:23 . 2005-09-10 14:23 -------- d-----w- c:\documents and settings\Maison\Application Data\Thunderbird

2009-08-22 16:54 . 2005-09-10 10:23 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-08-22 12:38 . 2006-04-08 12:38 -------- d-----w- c:\program files\Symantec

2009-08-10 16:36 . 2007-05-01 16:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Installations

2009-08-10 16:35 . 2007-05-01 16:14 -------- d-----w- c:\program files\Nokia

2009-08-10 16:34 . 2008-11-14 11:11 -------- d-----w- c:\program files\Fichiers communs\Nokia

2009-08-05 09:06 . 2005-09-10 10:24 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-08-03 11:36 . 2008-09-05 07:56 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-03 11:36 . 2008-09-05 07:56 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-30 14:40 . 2007-08-25 16:35 -------- d-----w- c:\program files\Microsoft ActiveSync

2009-07-27 02:43 . 2009-07-27 02:43 58908 ----a-w- c:\windows\system32\drivers\scdemu.sys

2009-07-17 18:56 . 2002-09-07 00:00 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 08:08 . 2005-09-10 11:47 286720 ----a-w- c:\windows\system32\wmpdxm.dll

2009-06-26 16:18 . 2002-09-07 00:00 663552 ------w- c:\windows\system32\wininet.dll

2009-06-26 16:18 . 2005-09-10 11:47 81920 ------w- c:\windows\system32\ieencode.dll

2009-06-25 18:36 . 2002-09-07 00:00 95744 ----a-w- c:\windows\system32\mqsec.dll

2009-06-25 18:36 . 2002-09-07 00:00 661504 ----a-w- c:\windows\system32\mqqm.dll

2009-06-25 18:36 . 2002-09-07 00:00 527360 ----a-w- c:\windows\system32\mqutil.dll

2009-06-25 18:36 . 2002-09-07 00:00 517120 ----a-w- c:\windows\system32\mqsnap.dll

2009-06-25 18:36 . 2002-09-07 00:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll

2009-06-25 18:36 . 2002-09-07 00:00 186880 ----a-w- c:\windows\system32\mqtrig.dll

2009-06-25 18:36 . 2002-09-07 00:00 177152 ----a-w- c:\windows\system32\mqrt.dll

2009-06-25 18:36 . 2002-09-07 00:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll

2009-06-25 18:36 . 2002-09-07 00:00 47104 ----a-w- c:\windows\system32\mqdscli.dll

2009-06-25 18:36 . 2002-09-07 00:00 225280 ----a-w- c:\windows\system32\mqoa.dll

2009-06-25 18:36 . 2002-09-07 00:00 16896 ----a-w- c:\windows\system32\mqise.dll

2009-06-25 18:36 . 2002-09-07 00:00 138240 ----a-w- c:\windows\system32\mqad.dll

2009-06-22 11:49 . 2002-09-07 00:00 19968 ----a-w- c:\windows\system32\mqbkup.exe

2009-06-22 11:49 . 2002-09-07 00:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe

2009-06-22 11:49 . 2002-09-07 00:00 4608 ----a-w- c:\windows\system32\mqsvc.exe

2009-06-22 11:48 . 2002-09-07 00:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys

2009-06-21 09:04 . 2009-06-21 09:04 23224 ---ha-w- c:\windows\system32\mlfcache.dat

2009-06-16 14:54 . 2002-09-07 00:00 82432 ----a-w- c:\windows\system32\fontsub.dll

2009-06-16 14:54 . 2002-09-07 00:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-15 11:33 . 2002-09-07 00:00 78848 ----a-w- c:\windows\system32\telnet.exe

2009-06-15 11:32 . 2002-09-07 00:00 82944 ----a-w- c:\windows\system32\tlntsess.exe

2009-06-10 14:23 . 2002-09-07 00:00 85504 ----a-w- c:\windows\system32\avifil32.dll

2009-06-10 06:30 . 2002-09-07 00:00 132096 ----a-w- c:\windows\system32\wkssvc.dll

2008-10-14 16:25 . 2008-10-14 16:25 14160509 -c--a-w- c:\program files\klcodec417f.exe

2008-10-14 16:18 . 2008-10-14 16:18 14566424 -c--a-w- c:\program files\vlc-0.9.4-win32.exe

2006-04-08 12:37 . 2006-04-08 12:37 695 -c--a-w- c:\program files\Emule sur parents (Parents).rar

2007-12-08 19:43 . 2007-12-08 19:43 594944 -c--a-w- c:\program files\mozilla firefox\plugins\MannequinPlayer2.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-18 68856]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]

"fff.exe"="c:\documents and settings\Maison\Application Data\MSA\fff.exe" [2009-09-03 24576]

"perfdm32"="c:\documents and settings\Maison\Local Settings\Application Data\perfdm32\perfdm32.dll" [2009-08-27 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]

"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 94208]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-09-12 180269]

"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2009-07-27 180224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Maison\Menu D‚marrer\Programmes\D‚marrage\

ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE [2005-10-20 38912]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Gestionnaire de lancement d'application fax.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Gestionnaire de lancement d'application fax.lnk

backup=c:\windows\pss\Gestionnaire de lancement d'application fax.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk

backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk

backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkbMonitor.exe.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NkbMonitor.exe.lnk

backup=c:\windows\pss\NkbMonitor.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Maison^Menu Démarrer^Programmes^Démarrage^ERUNT AutoBackup.lnk]

path=c:\documents and settings\Maison\Menu Démarrer\Programmes\Démarrage\ERUNT AutoBackup.lnk

backup=c:\windows\pss\ERUNT AutoBackup.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"\\\\PARENTS\\Emule\\emule\\emule.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\devolo\\informer\\devinf.exe"=

"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"c:\\Program Files\\Fichiers communs\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1969:TCP"= 1969:TCP:emule1

"1970:TCP"= 1970:TCP:emule 2

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [04/09/2009 16:59 28544]

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05/07/2006 14:46 63352]

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [15/08/2006 19:00 58464]

R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);c:\windows\system32\drivers\npf_devolo.sys [07/02/2007 16:57 35840]

S2 gupdate1c9d98e24b8b29f;Service Google Update (gupdate1c9d98e24b8b29f);c:\program files\Google\Update\GoogleUpdate.exe [20/05/2009 23:01 133104]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [05/09/2008 09:56 38160]

S3 ovt530;Webcam Deluxe;c:\windows\system32\drivers\ov530vid.sys [12/04/2006 16:00 161792]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - ENTDRV51

*NewlyCreated* - PAVBOOT

.

Contents of the 'Scheduled Tasks' folder

2009-08-29 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-09-04 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-18 21:57]

2009-09-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-20 21:01]

2009-09-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-20 21:01]

2009-09-04 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-04-22 20:18]

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.orange.fr/

uSearch Page = hxxp://www.google.com

uDefault_Search_URL = hxxp://www.google.com/ie

uSearch Bar = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} - hxxp://orange.securitoo.com/pchc/fscax.cab

FF - ProfilePath - c:\documents and settings\Maison\Application Data\Mozilla\Firefox\Profiles\jvqnb58b.Utilisateur par défaut\

FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/

FF - component: c:\documents and settings\Maison\Application Data\Mozilla\Firefox\Profiles\jvqnb58b.Utilisateur par défaut\extensions\piclens@cooliris.com\components\coolirisstub.dll

FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-04 18:04

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1229272821-1343024091-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,78,a6,f7,86,d5,

70,3c,3f,e2,63,26,f1,3f,c8,ff,68,c1,2f,e9,2f,1c,ca,74,04,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,5f,ba,f7,57,26,

e9,4f,e3,6a,9c,d6,61,af,45,84,18,7d,b9,b6,20,fe,c1,b0,7b,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2c81e34222e8052573023a60d06dd016"=hex:7a,45,05,fd,91,e8,6f,31,88,cc,60,c8,7a,

2e,89,89,ff,7c,85,e0,43,d4,0e,fe,9a,ee,b0,20,35,93,c2,9b,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,c6,09,4f,34,58,

65,89,14,86,8c,21,01,be,91,eb,e7,3c,60,9e,ae,16,3f,5a,1c,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,d0,b7,61,01,0b,

0b,f6,90,f5,1d,4d,73,a8,13,5c,05,db,47,55,d0,ce,46,bf,63,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,4f,e4,f7,56,00,

71,bf,43,df,20,58,62,78,6b,cf,c8,82,f7,7a,4b,4b,cc,cb,1d,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,fb,b7,fa,86,6d,

b3,3c,12,fb,a7,78,e6,12,2f,9a,ea,42,5c,1b,c8,6d,c7,7b,cb,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,fc,33,26,92,68,

03,ea,d5,01,3a,48,fc,e8,04,4a,f1,ed,7c,6c,59,93,42,d3,e1,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,6f,aa,d0,3c,b2,

4a,d2,40,f6,0f,4e,58,98,5b,89,c9,ce,73,f6,bc,cb,60,a7,42,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,27,4e,c4,6e,f2,

21,f0,8e,3d,ce,ea,26,2d,45,aa,78,fc,de,97,63,87,5c,7d,26,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,b3,14,0c,43,3f,

ec,fa,6c,2a,b7,cc,b5,b9,7f,41,e7,4d,25,56,dc,a8,0c,cd,9d,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

"ThreadingModel"="Apartment"

@="c:\\WINDOWS\\system32\\OLE32.DLL"

"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,07,67,31,6b,25,

35,2e,cf,6c,43,2d,1e,aa,22,2f,9c,f1,e8,2c,50,76,4c,e6,46,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:31,9a,43,87,93,d9,a7,c4,79,5e,2d,1e,80,90,d5,d1,63,b1,66,c6,a8,08,94,

45,72,a1,36,2a,eb,98,02,f4,53,94,9d,10,62,37,85,59,bc,75,01,01,d7,a5,2b,79,\

"??"=hex:00,ce,c3,b1,b3,bd,22,56,be,ec,e5,60,e9,d4,30,b5

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(972)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1028)

c:\windows\system32\EntApi.dll

- - - - - - - > 'explorer.exe'(1848)

c:\windows\system32\EntApi.dll

c:\documents and settings\Maison\Local Settings\Application Data\perfdm32\perfdm32.dll

.

Completion time: 2009-09-04 18:08

ComboFix-quarantined-files.txt 2009-09-04 16:07

ComboFix2.txt 2009-09-04 15:54

Pre-Run: 17 378 004 992 octets libres

Post-Run: 17 352 011 776 octets libres

301 --- E O F --- 2009-09-04 13:21

Mark · le 4 septembre 2009

Rebonjour (soir)

Je passe en vitesse ;

Bien joué Fran.

Pourrais-tu s'il te plaît poster le contenu du rapport situé ici : C:\Qoobox\ComboFix2.txt

Merci

fran56 · le 4 septembre 2009

je n'y suis pas pour grand chose mais c'est vrai que sans doute le fait de mettre des chiifres a peut-être bloqué la sale bestiole...

donc voilà combofix2.txt

au fait comment se fait-il quand même que le fait de passer combofix ait pu bloquer le programme total security???

ComboFix 09-09-03.02 - Maison 04/09/2009 17:32.3.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.682 [GMT 2:00]

Running from: c:\documents and settings\Maison\Bureau\23121957.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Maison\Application Data\Dossier de téléchargement Share-to-Web

c:\program files\Mozilla Firefox\plugins\npclntax.dll

c:\windows\Installer\826ec5.msp

c:\windows\system32\kw.dat

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_BOONTY_GAMES

-------\Service_Boonty Games