Hijackthis

Dalek · le 6 octobre 2009

Salut!

Alors j'ai bien suivi tes instructions (ma machine n'a même pas eu besoin de redémarrer), mais... impossible de trouver DeQuarantine_log.txt, j'ai juste trouvé un fichier répertoriant les scripts utilisés, CFScript_used_2009-10-06_23.09.34.txt , qui contient exactement ce que j'avais marqué

Voici ce que contient ComboFix.txt :

ComboFix 09-10-05.01 - Alain 06/10/2009 23:09.3.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.558 [GMT 2:00]

Lancé depuis: c:\documents and settings\Alain\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Alain\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Securitoo AntiVirus Firewall 6.15 *On-access scanning enabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}

FW: COMODO Firewall *disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

FW: Securitoo AntiVirus Firewall 6.15 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-06 au 2009-10-06 ))))))))))))))))))))))))))))))))))))

.

2009-10-06 21:05 . 2009-10-06 21:05 -------- d-----w- c:\windows\LastGood

2009-09-28 16:08 . 2009-09-28 16:08 -------- d-sh--w- c:\documents and settings\Ugo\PrivacIE

2009-09-24 07:22 . 2009-09-24 07:22 -------- d-----w- c:\program files\NOS

2009-09-19 21:50 . 2009-09-19 21:50 -------- d-----w- C:\rsit

2009-09-19 14:03 . 2009-09-19 14:03 -------- d-----w- c:\documents and settings\Alain\Application Data\Malwarebytes

2009-09-19 09:25 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2009-09-19 09:25 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2009-09-19 09:10 . 2009-09-19 09:10 -------- d-----w- c:\documents and settings\Ugo\Application Data\Malwarebytes

2009-09-19 09:10 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-19 09:10 . 2009-09-19 09:10 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-19 09:10 . 2009-09-19 09:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-09-19 09:10 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-19 08:58 . 2009-09-19 08:58 -------- d-----w- c:\program files\Microsoft Games

2009-09-08 07:10 . 2009-09-08 07:10 87104 ----a-w- c:\windows\system32\drivers\inspect.sys

2009-09-08 07:10 . 2009-09-08 07:10 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys

2009-09-08 07:10 . 2009-09-08 07:10 179792 ----a-w- c:\windows\system32\guard32.dll

2009-09-08 07:10 . 2009-09-08 07:10 132168 ----a-w- c:\windows\system32\drivers\cmdguard.sys

2009-09-08 06:27 . 2009-09-08 06:27 -------- d-----w- c:\program files\Trend Micro

2009-09-08 03:39 . 2009-09-08 03:39 -------- d-----w- c:\windows\l2schemas

2009-09-08 03:39 . 2009-09-08 03:39 -------- d-----w- c:\windows\system32\fr

2009-09-08 03:39 . 2009-09-08 03:39 -------- d-----w- c:\windows\system32\bits

2009-09-08 03:19 . 2009-09-08 03:19 -------- d-----w- c:\windows\EHome

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-30 20:50 . 2008-03-30 18:37 -------- d-----w- c:\program files\Steam

2009-09-29 22:10 . 2006-06-28 15:16 52008 ----a-w- c:\documents and settings\Alain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-28 16:08 . 2009-03-01 06:15 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2009-09-19 09:19 . 2008-10-28 14:00 -------- d-----w- c:\documents and settings\Ugo\Application Data\uTorrent

2009-09-18 03:04 . 2006-07-06 08:03 -------- d-----w- c:\documents and settings\Alain\Application Data\Canon

2009-09-08 07:15 . 2009-04-13 10:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo

2009-09-08 07:10 . 2009-04-11 22:25 -------- d-----w- c:\program files\COMODO

2009-09-08 04:32 . 2006-07-16 12:09 52008 ----a-w- c:\documents and settings\Ugo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-08 04:11 . 2005-10-19 15:58 82646 ----a-w- c:\windows\system32\perfc00C.dat

2009-09-08 04:11 . 2005-10-19 15:58 505356 ----a-w- c:\windows\system32\perfh00C.dat

2009-09-02 10:25 . 2006-07-06 07:41 -------- d-----w- c:\program files\hp deskjet 940c series

2009-09-01 19:24 . 2007-11-07 14:41 138736 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

2009-09-01 19:23 . 2007-11-07 14:41 188968 ----a-w- c:\windows\system32\PnkBstrB.exe

2009-08-30 00:16 . 2009-08-30 00:16 -------- d-----w- c:\program files\Avira

2009-08-30 00:16 . 2009-08-30 00:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2009-08-06 17:24 . 2005-10-19 07:08 327896 ----a-w- c:\windows\system32\wucltui.dll

2009-08-06 17:24 . 2005-10-19 07:08 209632 ----a-w- c:\windows\system32\wuweb.dll

2009-08-06 17:24 . 2005-10-19 09:19 44768 ----a-w- c:\windows\system32\wups2.dll

2009-08-06 17:24 . 2005-10-19 07:08 35552 ----a-w- c:\windows\system32\wups.dll

2009-08-06 17:24 . 2005-10-19 07:08 53472 ----a-w- c:\windows\system32\wuauclt.exe

2009-08-06 17:24 . 2005-10-19 15:57 96480 ----a-w- c:\windows\system32\cdm.dll

2009-08-06 17:23 . 2005-10-19 07:08 575704 ----a-w- c:\windows\system32\wuapi.dll

2009-08-06 17:23 . 2005-11-02 15:31 274288 ----a-w- c:\windows\system32\mucltui.dll

2009-08-06 17:23 . 2005-10-19 07:08 1929952 ----a-w- c:\windows\system32\wuaueng.dll

2009-08-06 17:23 . 2005-05-26 02:19 215920 ----a-w- c:\windows\system32\muweb.dll

2009-08-05 09:00 . 2005-10-19 15:57 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:35 . 2005-10-19 15:57 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-29 04:35 . 2005-10-19 15:57 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-07-17 19:03 . 2005-10-19 15:57 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 21:43 . 2005-10-19 15:58 286208 ----a-w- c:\windows\system32\wmpdxm.dll

2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll

2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-09-28_14.09.53 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-10-01 04:41 . 2009-08-06 17:24 44768 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll

+ 2009-10-01 04:41 . 2009-08-06 17:24 35552 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll

- 2008-01-13 20:47 . 2009-02-20 17:02 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe

+ 2008-01-13 20:47 . 2009-09-28 14:30 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe

+ 2005-10-19 07:08 . 2009-08-06 17:24 35552 c:\windows\system32\dllcache\wups.dll

+ 2005-10-19 07:08 . 2009-08-06 17:24 53472 c:\windows\system32\dllcache\wuauclt.exe

+ 2005-10-19 15:57 . 2009-08-06 17:24 96480 c:\windows\system32\dllcache\cdm.dll

- 2005-10-19 07:11 . 2009-09-08 04:07 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2005-10-19 07:11 . 2009-10-06 21:04 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2005-10-19 07:11 . 2009-10-06 21:04 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2005-10-19 07:11 . 2009-09-08 04:07 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat

- 2005-10-19 07:11 . 2009-09-08 04:07 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-09-28 14:31 . 2009-10-06 21:04 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-07-18 03:21 . 2009-07-18 03:21 257440 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe

+ 2005-10-19 07:08 . 2009-08-06 17:24 209632 c:\windows\system32\dllcache\wuweb.dll

+ 2005-10-19 07:08 . 2009-08-06 17:24 327896 c:\windows\system32\dllcache\wucltui.dll

+ 2005-10-19 07:08 . 2009-08-06 17:23 575704 c:\windows\system32\dllcache\wuapi.dll

+ 2009-10-06 21:05 . 2008-10-16 13:06 208744 c:\windows\LastGood\system32\muweb.dll

+ 2009-10-06 21:05 . 2008-10-16 13:06 268648 c:\windows\LastGood\system32\mucltui.dll

+ 2009-07-18 03:21 . 2009-07-18 03:21 3883424 c:\windows\system32\Macromed\Flash\NPSWF32.dll

+ 2005-10-19 07:08 . 2009-08-06 17:23 1929952 c:\windows\system32\dllcache\wuaueng.dll

+ 2009-09-28 17:59 . 2009-09-28 17:59 1697792 c:\windows\Installer\236845.msp

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2007-09-07 155648]

"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-11-05 139264]

"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2007-09-06 196608]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-06-14 278528]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-07-16 282624]

"snpstd3"="c:\windows\vsnpstd3.exe" [2007-09-06 286720]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2009-09-08 1796368]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"CHotkey"="zHotkey.exe" - c:\windows\zHotkey.exe [2004-05-17 543232]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Estelle\Menu D‚marrer\Programmes\D‚marrage\

HotSync Manager.lnk - c:\program files\palmOne\HOTSYNC.EXE [2004-4-12 299008]

PowerReg Scheduler.exe [2006-9-30 233472]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ehA37.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windo18.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winnt20.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winqo01.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"AOL ACS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\NetMeeting\\Conf.exe"=

"c:\\Program Files\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=

"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=

"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=

"c:\\Documents and Settings\\Ugo\\Bureau\\msnmsgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Maïdo Production\\IziSpot 3\\IziSpot.exe"=

"c:\\Program Files\\FileZilla\\FileZilla.exe"=

"c:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=

"c:\\Program Files\\GameSpy\\Comrade\\Comrade.exe"=

"c:\\Program Files\\Metin2_France\\metin2.bin"=

"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\team fortress 2\\hl2.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\source sdk base\\hl2.exe"=

"c:\\Program Files\\Steam\\Steam.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\insurgency\\hl2.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\day of defeat source\\hl2.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"2354:TCP"= 2354:TCP:@xpsp2res.dll

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [18/05/2007 14:19 70896]

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [08/09/2009 09:10 132168]

R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [08/09/2009 09:10 25160]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/08/2009 02:16 108289]

R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [04/10/2005 14:59 827008]

S0 ehA37;ehA37;c:\windows\system32\Drivers\ehA37.sys --> c:\windows\system32\Drivers\ehA37.sys [?]

S0 Jbi32;Jbi32; [x]

S0 Windo18;Windo18;c:\windows\system32\Drivers\Windo18.sys --> c:\windows\system32\Drivers\Windo18.sys [?]

S0 Winnt20;Winnt20;c:\windows\system32\Drivers\Winnt20.sys --> c:\windows\system32\Drivers\Winnt20.sys [?]

S0 Winqo01;Winqo01;c:\windows\system32\Drivers\Winqo01.sys --> c:\windows\system32\Drivers\Winqo01.sys [?]

S2 BackWeb Plug-in - 7431218;Antivirus Firewall;c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE --> c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE [?]

S2 F-Secure Filter;F-Secure File System Filter;\??\c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSfilter.sys --> c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSfilter.sys [?]

S2 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSgk.sys --> c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSgk.sys [?]

S2 F-Secure Recognizer;F-Secure File System Recognizer;\??\c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSrec.sys --> c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSrec.sys [?]

S2 rlcveofy;NVIDIA nForce Networking Controller Support;c:\windows\System32\svchost.exe -k netsvcs [19/10/2005 17:57 14336]

S3 getPlusHelper;getPlus® Helper;c:\windows\System32\svchost.exe -k getPlusHelper [19/10/2005 17:57 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

rlcveofy

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.rue89.com/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Bloquer cette fenêtre publicitaire - c:\program files\Securitoo\av_fw\Anti-Spyware\blockpopups.htm

IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML

IE: Chercher avec Copernic Agent - c:\program files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - c:\progra~1\COPERN~1\COPERN~1.DLL

Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - c:\progra~1\COPERN~1\COPERN~1.DLL

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab

DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - hxxp://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab

FF - ProfilePath - c:\documents and settings\Alain\Application Data\Mozilla\Firefox\Profiles\rcwy3for.default\

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-06 23:21

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-567525336-1140064385-2066440111-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-567525336-1140064385-2066440111-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:0e,f0,93,ce,b2,20,f0,1d,5f,38,50,a6,af,40,ef,7d,fc,c5,94,3f,a3,0f,b2,

ac,2e,40,c2,20,bb,45,83,50,b5,9e,12,70,2e,53,61,7f,b6,53,f2,71,d5,8c,2d,6f,\

"??"=hex:69,6f,5c,46,6a,89,f9,ee,2d,48,e0,10,87,42,1e,12

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(532)

c:\windows\system32\guard32.dll

- - - - - - - > 'winlogon.exe'(2556)

c:\windows\system32\guard32.dll

- - - - - - - > 'lsass.exe'(592)

c:\windows\system32\guard32.dll

- - - - - - - > 'explorer.exe'(2848)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

- - - - - - - > 'explorer.exe'(936)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

Heure de fin: 2009-10-06 23:25

ComboFix-quarantined-files.txt 2009-10-06 21:25

ComboFix2.txt 2009-09-28 14:15

Avant-CF: 44 959 219 712 octets libres

Après-CF: 44 989 620 224 octets libres

278 --- E O F --- 2009-09-22 17:25

oGu · le 8 octobre 2009

Salut!

Si tu n'as pas le log Dequarantine, vérifie que ces fichiers:

bdcore.dll

libfn.dll

sont bien présents dans ce dossier:

C:\WINDOWS\Downloaded Program Files

Avant de poursuivre (c'est à dire: supprimer le worm Abot qui t'a infecté), j'ai besoin:

-que tu désinstalles les logiciels suivants: Comodo , AdAware et, s'il apparaît encore dans ton Panneau de Configuration (rubrique "ajouter/supprimer des programmes"), le logiciel F-Secure (qui peut s'appeler Securitoo).

Une fois ce ménage fait, je dois m'assurer de la probité de certains fichiers:

NOVIRUSTHANKS

Va sur le site NoVirusThanks ! en cliquant sur cette image:

Copie cette ligne:

c:\windows\system32\Drivers\ehA37.sys
Sur la page NoVirusThanks, clique sur le bouton "Parcourir"
Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
Sur la page NoVirusThanks, clique maintenant sur le bouton "Submit File"

et laisse travailler tant que "Status: scanning" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
Lorsque l'analyse est terminée ("Status: finished"), descend en bas de la page et copie le contenu de l'intégralité de la boîte intitulée BB Code:
Enfin colle le résultat dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Si le site indique que le fichier est introuvable, note-le dans ta prochaine réponse.

NOVIRUSTHANKS

Même travail, mais pour les fichiers suivants: copie ces lignes une à une et passe les au scan NoVirusThanks

c:\windows\system32\Drivers\ehA37.sys

c:\windows\system32\Drivers\Windo18.sys

c:\windows\system32\Drivers\Winnt20.sys

c:\windows\system32\Drivers\Winqo01.sys

Dalek · le 11 octobre 2009

Salut!

Bon, c'est clair que je dois avoir un problème: tous les fichiers que tu m'as demandé d'analyser sont introuvables!

Pour les fichiers bdcore.dll et libfn.dll ils ne sont pas présent dans C:\WINDOWS\Downloaded Program Files

PS: j'ai supprimé Comodo et Avira, mais ca me fait un peu peur de laisser mon ordi sans protections, je peux les réinstaller?

oGu · le 11 octobre 2009

Salut!

Non, tant mieux s'ils sont absents! Ce sont sans doute des drivers infectieux qui ont du être shootés il y a longtemps par ton antivirus. Pour en être certains, on va les supprimer avec ComboFix.

Je te précise aussi qu'il y a beaucoup de travail sur ta machine qui était très infectée, donc ne t'étonne pas si ça prend du temps !

Puis utilise ce CFScript: volià ce qu'il va faire:

-supprimer les fichiers infectés

-restaurer les faux positifs de ComboFix supprimés par erreur

-supprimer le démarrage automatique des menaces

-shooter les pilotes infectés

-faire le ménage parmi tes trop nombreux outils de sécurité qui en avaient collé partout!

-virer des restes de la toolbar Google

-supprimer les autorisations à communiquer à travers ton pare-feu que tes anciens antivirus s'étaient octroyées

-effacer YesMessenger qui est une merdouille.

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

Ouvre un nouveau fichier du Bloc-notes

"Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :

DeQuarantine::
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"newname"=-
"keyboard"=-
"msnfaaaa"=-
"News Service"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnfaaaa"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ABD7C2DD-84DE-28FC-1E72-323394635866}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\Program Files\Securitoo\av_fw\backweb\7431218\Program\fspex.exe"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\Securitoo\av_fw\backweb\7431218\Program\fspex.exe"=-

Folder::
c:\program files\Securitoo
c:\documents and settings\All Users\Application Data\Comodo
c:\program files\COMODO
C:\Program Files\Google\GoogleToolbarNotifier
C:\Program Files\YesMessenger
C:\Documents and Settings\All Users\Application Data\Comodo

File::
C:\WINDOWS\System32\syst6.dll
C:\\nwnmff_e12.exe
C:\\kybrdff_e14.exe
C:\WINDOWS\system32\msnfaaaa.exe
C:\DOCUME~1\Alain\LOCALS~1\Temp\yyy10786.exe
C:\DOCUME~1\Alain\LOCALS~1\Temp\64B.tmp.exe
C:\WINDOWS\system\bqmtcs32.dll
c:\windows\system32\Drivers\Windo18.sys
c:\windows\system32\Drivers\Winnt20.sys
c:\windows\system32\Drivers\Winqo01.sys
c:\windows\system32\Drivers\ehA37.sys
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job

Driver::
Jbi32
ehA37
Windo18
Winnt20
Winqo01
F-Secure Recognizer
F-Secure Gatekeeper
F-Secure Filter
BackWeb Plug-in

Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt

ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser pour votre propre PC sous risque de plantage!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin, poste le rapport suivant dans ta prochaine réponse :

- Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

Une fois que le script aura fait son travail, tu vas réinstaller Antivir. Tu dois aussi, si tu ne l'as pas encore fait, désinstaller AdAware:

INSTALLER ANTIVIR

Télécharge Antivir en cliquant sur l'image:
Installe-le
Configure-le en suivant le tuto de Falkra

Pour le firewall, tu peux installer celui de COMODO, en choisissant IMPERATIVEMENT, lors de l'install', l'option " Install the Firewall as a standalone":

ATTENTION!: en l'installant, DECOCHE bien également l'option qui te fourgue de force la toolbar Comodo. SOIS VIGILANT !

Néanmoins je te conseille plutôt le pare-feu Online Armor:

dowload:

http://www.tallemu.com/downloads.php

tuto:

http://www.malekal.com/tutorial_Online_Armor.php

Autrement, le pare-feu PC Tools Firewall est aussi convaincant.

Enfin pour terminer pour ce soir: quel est ton FAI (fournisseur d'accès internet) ?

Bon travail!

Dalek · le 11 octobre 2009

Salut!

Bon, voici les rapports de l'opération:

DeQuarantine.txt

C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\bdcore.dll -> C:\WINDOWS\Downloaded Program Files\bdcore.dll
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files\libfn.dll -> C:\WINDOWS\Downloaded Program Files\libfn.dll
2 fichier(s) copi‚(s)

ComboFix.txt

ComboFix 09-10-05.01 - Alain 08/10/2009 17:16.4.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.686 [GMT 2:00]
Lancé depuis: c:\documents and settings\Alain\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Alain\Bureau\CFScript.txt
AV: Securitoo AntiVirus Firewall 6.15 *On-access scanning enabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Securitoo AntiVirus Firewall 6.15 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

FILE ::
"c:\\kybrdff_e14.exe"
"c:\\nwnmff_e12.exe"
"c:\docume~1\Alain\LOCALS~1\Temp\64B.tmp.exe"
"c:\docume~1\Alain\LOCALS~1\Temp\yyy10786.exe"
"c:\windows\system\bqmtcs32.dll"
"c:\windows\system32\Drivers\ehA37.sys"
"c:\windows\system32\Drivers\Windo18.sys"
"c:\windows\system32\Drivers\Winnt20.sys"
"c:\windows\system32\Drivers\Winqo01.sys"
"c:\windows\system32\msnfaaaa.exe"
"c:\windows\System32\syst6.dll"
"c:\windows\tasks\At1.job"
"c:\windows\tasks\At10.job"
"c:\windows\tasks\At11.job"
"c:\windows\tasks\At12.job"
"c:\windows\tasks\At13.job"
"c:\windows\tasks\At14.job"
"c:\windows\tasks\At15.job"
"c:\windows\tasks\At16.job"
"c:\windows\tasks\At17.job"
"c:\windows\tasks\At18.job"
"c:\windows\tasks\At19.job"
"c:\windows\tasks\At2.job"
"c:\windows\tasks\At20.job"
"c:\windows\tasks\At21.job"
"c:\windows\tasks\At22.job"
"c:\windows\tasks\At23.job"
"c:\windows\tasks\At24.job"
"c:\windows\tasks\At3.job"
"c:\windows\tasks\At4.job"
"c:\windows\tasks\At5.job"
"c:\windows\tasks\At6.job"
"c:\windows\tasks\At7.job"
"c:\windows\tasks\At8.job"
"c:\windows\tasks\At9.job"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\COMODO
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\libfn.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EHA37
-------\Legacy_F-SECURE_FILTER
-------\Legacy_F-SECURE_GATEKEEPER
-------\Legacy_F-SECURE_RECOGNIZER
-------\Legacy_JBI32
-------\Legacy_WINDO18
-------\Legacy_WINNT20
-------\Service_ehA37
-------\Service_F-Secure Filter
-------\Service_F-Secure Gatekeeper
-------\Service_F-Secure Recognizer
-------\Service_Jbi32
-------\Service_Windo18
-------\Service_Winnt20
-------\Service_Winqo01


(((((((((((((((((((((((((((((   Fichiers créés du 2009-09-08 au 2009-10-08  ))))))))))))))))))))))))))))))))))))
.

2009-09-28 16:08 . 2009-09-28 16:08	--------	d-sh--w-	c:\documents and settings\Ugo\PrivacIE
2009-09-24 07:22 . 2009-09-24 07:22	--------	d-----w-	c:\program files\NOS
2009-09-19 21:50 . 2009-09-19 21:50	--------	d-----w-	C:\rsit
2009-09-19 14:03 . 2009-09-19 14:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Malwarebytes
2009-09-19 09:25 . 2009-07-03 16:57	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-09-19 09:25 . 2009-07-03 16:57	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\Ugo\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-19 08:58 . 2009-09-19 08:58	--------	d-----w-	c:\program files\Microsoft Games

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 20:50 . 2008-03-30 18:37	--------	d-----w-	c:\program files\Steam
2009-09-29 22:10 . 2006-06-28 15:16	52008	----a-w-	c:\documents and settings\Alain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-28 16:08 . 2009-03-01 06:15	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2009-09-19 09:19 . 2008-10-28 14:00	--------	d-----w-	c:\documents and settings\Ugo\Application Data\uTorrent
2009-09-18 03:04 . 2006-07-06 08:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Canon
2009-09-08 06:27 . 2009-09-08 06:27	--------	d-----w-	c:\program files\Trend Micro
2009-09-08 04:32 . 2006-07-16 12:09	52008	----a-w-	c:\documents and settings\Ugo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-08 04:11 . 2005-10-19 15:58	82646	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-08 04:11 . 2005-10-19 15:58	505356	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-02 10:25 . 2006-07-06 07:41	--------	d-----w-	c:\program files\hp deskjet 940c series
2009-09-01 19:24 . 2007-11-07 14:41	138736	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-09-01 19:23 . 2007-11-07 14:41	188968	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-08-06 17:24 . 2005-10-19 07:08	327896	----a-w-	c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2005-10-19 07:08	209632	----a-w-	c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2005-10-19 09:19	44768	----a-w-	c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2005-10-19 07:08	35552	----a-w-	c:\windows\system32\wups.dll
2009-08-06 17:24 . 2005-10-19 07:08	53472	------w-	c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2005-10-19 15:57	96480	----a-w-	c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2005-10-19 07:08	575704	----a-w-	c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2005-11-02 15:31	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2005-10-19 07:08	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2009-08-06 17:23 . 2005-05-26 02:19	215920	----a-w-	c:\windows\system32\muweb.dll
2009-08-05 09:00 . 2005-10-19 15:57	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:35 . 2005-10-19 15:57	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-07-29 04:35 . 2005-10-19 15:57	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-07-17 19:03 . 2005-10-19 15:57	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2005-10-19 15:58	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-28_14.09.53   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-01 04:41 . 2009-08-06 17:24	44768              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll
+ 2009-10-01 04:41 . 2009-08-06 17:24	35552              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll
+ 2008-01-13 20:47 . 2009-09-28 14:30	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-01-13 20:47 . 2009-02-20 17:02	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2005-10-19 07:08 . 2009-08-06 17:24	35552              c:\windows\system32\dllcache\wups.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	53472              c:\windows\system32\dllcache\wuauclt.exe
+ 2005-10-19 15:57 . 2009-08-06 17:24	96480              c:\windows\system32\dllcache\cdm.dll
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-07-18 03:21 . 2009-07-18 03:21	257440              c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2005-10-19 07:08 . 2009-08-06 17:24	209632              c:\windows\system32\dllcache\wuweb.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	327896              c:\windows\system32\dllcache\wucltui.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	575704              c:\windows\system32\dllcache\wuapi.dll
+ 2009-07-18 03:21 . 2009-07-18 03:21	3883424              c:\windows\system32\Macromed\Flash\NPSWF32.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	1929952              c:\windows\system32\dllcache\wuaueng.dll
+ 2009-09-28 17:59 . 2009-09-28 17:59	1697792              c:\windows\Installer\236845.msp
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2007-09-07 155648]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-11-05 139264]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2007-09-06 196608]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-06-14 278528]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-07-16 282624]
"snpstd3"="c:\windows\vsnpstd3.exe" [2007-09-06 286720]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"CHotkey"="zHotkey.exe" - c:\windows\zHotkey.exe [2004-05-17 543232]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Estelle\Menu D‚marrer\Programmes\D‚marrage\
HotSync Manager.lnk - c:\program files\palmOne\HOTSYNC.EXE [2004-4-12 299008]
PowerReg Scheduler.exe [2006-9-30 233472]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Documents and Settings\\Ugo\\Bureau\\msnmsgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Maïdo Production\\IziSpot 3\\IziSpot.exe"=
"c:\\Program Files\\FileZilla\\FileZilla.exe"=
"c:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Program Files\\GameSpy\\Comrade\\Comrade.exe"=
"c:\\Program Files\\Metin2_France\\metin2.bin"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\team fortress 2\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\source sdk base\\hl2.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\insurgency\\hl2.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\day of defeat source\\hl2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2354:TCP"= 2354:TCP:@xpsp2res.dll

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [18/05/2007 14:19 70896]
R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [04/10/2005 14:59 827008]
S2 BackWeb Plug-in - 7431218;Antivirus Firewall;c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE --> c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE [?]
S2 rlcveofy;NVIDIA nForce Networking Controller Support;c:\windows\System32\svchost.exe -k netsvcs [19/10/2005 17:57 14336]
S3 getPlusHelper;getPlus® Helper;c:\windows\System32\svchost.exe -k getPlusHelper [19/10/2005 17:57 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
rlcveofy

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.rue89.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Bloquer cette fenêtre publicitaire - c:\program files\Securitoo\av_fw\Anti-Spyware\blockpopups.htm
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: Chercher avec Copernic Agent - c:\program files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - c:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - c:\progra~1\COPERN~1\COPERN~1.DLL
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - hxxp://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
FF - ProfilePath - c:\documents and settings\Alain\Application Data\Mozilla\Firefox\Profiles\rcwy3for.default\
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-ehA37.sys
SafeBoot-Windo18.sys
SafeBoot-Winnt20.sys
SafeBoot-Winqo01.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2009-10-08 17:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-567525336-1140064385-2066440111-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3392)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
.
**************************************************************************
.
Heure de fin: 2009-10-08 17:37 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-10-08 15:37
ComboFix2.txt  2009-10-06 21:25
ComboFix3.txt  2009-09-28 14:15
C:\DeQuarantine.txt

Avant-CF: 44 941 398 016 octets libres
Après-CF: 44 985 470 976 octets libres

303	--- E O F ---	2009-09-22 17:25

log.txt:

ComboFix 09-10-05.01 - Alain 08/10/2009 17:16.4.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.686 [GMT 2:00]
Lancé depuis: c:\documents and settings\Alain\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Alain\Bureau\CFScript.txt
AV: Securitoo AntiVirus Firewall 6.15 *On-access scanning enabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Securitoo AntiVirus Firewall 6.15 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

FILE ::
"c:\\kybrdff_e14.exe"
"c:\\nwnmff_e12.exe"
"c:\docume~1\Alain\LOCALS~1\Temp\64B.tmp.exe"
"c:\docume~1\Alain\LOCALS~1\Temp\yyy10786.exe"
"c:\windows\system\bqmtcs32.dll"
"c:\windows\system32\Drivers\ehA37.sys"
"c:\windows\system32\Drivers\Windo18.sys"
"c:\windows\system32\Drivers\Winnt20.sys"
"c:\windows\system32\Drivers\Winqo01.sys"
"c:\windows\system32\msnfaaaa.exe"
"c:\windows\System32\syst6.dll"
"c:\windows\tasks\At1.job"
"c:\windows\tasks\At10.job"
"c:\windows\tasks\At11.job"
"c:\windows\tasks\At12.job"
"c:\windows\tasks\At13.job"
"c:\windows\tasks\At14.job"
"c:\windows\tasks\At15.job"
"c:\windows\tasks\At16.job"
"c:\windows\tasks\At17.job"
"c:\windows\tasks\At18.job"
"c:\windows\tasks\At19.job"
"c:\windows\tasks\At2.job"
"c:\windows\tasks\At20.job"
"c:\windows\tasks\At21.job"
"c:\windows\tasks\At22.job"
"c:\windows\tasks\At23.job"
"c:\windows\tasks\At24.job"
"c:\windows\tasks\At3.job"
"c:\windows\tasks\At4.job"
"c:\windows\tasks\At5.job"
"c:\windows\tasks\At6.job"
"c:\windows\tasks\At7.job"
"c:\windows\tasks\At8.job"
"c:\windows\tasks\At9.job"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\COMODO
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\libfn.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_EHA37
-------\Legacy_F-SECURE_FILTER
-------\Legacy_F-SECURE_GATEKEEPER
-------\Legacy_F-SECURE_RECOGNIZER
-------\Legacy_JBI32
-------\Legacy_WINDO18
-------\Legacy_WINNT20
-------\Service_ehA37
-------\Service_F-Secure Filter
-------\Service_F-Secure Gatekeeper
-------\Service_F-Secure Recognizer
-------\Service_Jbi32
-------\Service_Windo18
-------\Service_Winnt20
-------\Service_Winqo01


(((((((((((((((((((((((((((((   Fichiers créés du 2009-09-08 au 2009-10-08  ))))))))))))))))))))))))))))))))))))
.

2009-09-28 16:08 . 2009-09-28 16:08	--------	d-sh--w-	c:\documents and settings\Ugo\PrivacIE
2009-09-24 07:22 . 2009-09-24 07:22	--------	d-----w-	c:\program files\NOS
2009-09-19 21:50 . 2009-09-19 21:50	--------	d-----w-	C:\rsit
2009-09-19 14:03 . 2009-09-19 14:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Malwarebytes
2009-09-19 09:25 . 2009-07-03 16:57	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-09-19 09:25 . 2009-07-03 16:57	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\Ugo\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-19 08:58 . 2009-09-19 08:58	--------	d-----w-	c:\program files\Microsoft Games

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 20:50 . 2008-03-30 18:37	--------	d-----w-	c:\program files\Steam
2009-09-29 22:10 . 2006-06-28 15:16	52008	----a-w-	c:\documents and settings\Alain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-28 16:08 . 2009-03-01 06:15	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2009-09-19 09:19 . 2008-10-28 14:00	--------	d-----w-	c:\documents and settings\Ugo\Application Data\uTorrent
2009-09-18 03:04 . 2006-07-06 08:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Canon
2009-09-08 06:27 . 2009-09-08 06:27	--------	d-----w-	c:\program files\Trend Micro
2009-09-08 04:32 . 2006-07-16 12:09	52008	----a-w-	c:\documents and settings\Ugo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-08 04:11 . 2005-10-19 15:58	82646	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-08 04:11 . 2005-10-19 15:58	505356	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-02 10:25 . 2006-07-06 07:41	--------	d-----w-	c:\program files\hp deskjet 940c series
2009-09-01 19:24 . 2007-11-07 14:41	138736	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-09-01 19:23 . 2007-11-07 14:41	188968	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-08-06 17:24 . 2005-10-19 07:08	327896	----a-w-	c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2005-10-19 07:08	209632	----a-w-	c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2005-10-19 09:19	44768	----a-w-	c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2005-10-19 07:08	35552	----a-w-	c:\windows\system32\wups.dll
2009-08-06 17:24 . 2005-10-19 07:08	53472	------w-	c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2005-10-19 15:57	96480	----a-w-	c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2005-10-19 07:08	575704	----a-w-	c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2005-11-02 15:31	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2005-10-19 07:08	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2009-08-06 17:23 . 2005-05-26 02:19	215920	----a-w-	c:\windows\system32\muweb.dll
2009-08-05 09:00 . 2005-10-19 15:57	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:35 . 2005-10-19 15:57	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-07-29 04:35 . 2005-10-19 15:57	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-07-17 19:03 . 2005-10-19 15:57	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2005-10-19 15:58	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-28_14.09.53   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-01 04:41 . 2009-08-06 17:24	44768              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll
+ 2009-10-01 04:41 . 2009-08-06 17:24	35552              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll
+ 2008-01-13 20:47 . 2009-09-28 14:30	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-01-13 20:47 . 2009-02-20 17:02	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2005-10-19 07:08 . 2009-08-06 17:24	35552              c:\windows\system32\dllcache\wups.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	53472              c:\windows\system32\dllcache\wuauclt.exe
+ 2005-10-19 15:57 . 2009-08-06 17:24	96480              c:\windows\system32\dllcache\cdm.dll
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-07-18 03:21 . 2009-07-18 03:21	257440              c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2005-10-19 07:08 . 2009-08-06 17:24	209632              c:\windows\system32\dllcache\wuweb.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	327896              c:\windows\system32\dllcache\wucltui.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	575704              c:\windows\system32\dllcache\wuapi.dll
+ 2009-07-18 03:21 . 2009-07-18 03:21	3883424              c:\windows\system32\Macromed\Flash\NPSWF32.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	1929952              c:\windows\system32\dllcache\wuaueng.dll
+ 2009-09-28 17:59 . 2009-09-28 17:59	1697792              c:\windows\Installer\236845.msp
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2007-09-07 155648]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-11-05 139264]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2007-09-06 196608]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-06-14 278528]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-07-16 282624]
"snpstd3"="c:\windows\vsnpstd3.exe" [2007-09-06 286720]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"CHotkey"="zHotkey.exe" - c:\windows\zHotkey.exe [2004-05-17 543232]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Estelle\Menu D‚marrer\Programmes\D‚marrage\
HotSync Manager.lnk - c:\program files\palmOne\HOTSYNC.EXE [2004-4-12 299008]
PowerReg Scheduler.exe [2006-9-30 233472]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Documents and Settings\\Ugo\\Bureau\\msnmsgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Maïdo Production\\IziSpot 3\\IziSpot.exe"=
"c:\\Program Files\\FileZilla\\FileZilla.exe"=
"c:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Program Files\\GameSpy\\Comrade\\Comrade.exe"=
"c:\\Program Files\\Metin2_France\\metin2.bin"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\team fortress 2\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\source sdk base\\hl2.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\insurgency\\hl2.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\day of defeat source\\hl2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2354:TCP"= 2354:TCP:@xpsp2res.dll

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [18/05/2007 14:19 70896]
R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [04/10/2005 14:59 827008]
S2 BackWeb Plug-in - 7431218;Antivirus Firewall;c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE --> c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE [?]
S2 rlcveofy;NVIDIA nForce Networking Controller Support;c:\windows\System32\svchost.exe -k netsvcs [19/10/2005 17:57 14336]
S3 getPlusHelper;getPlus® Helper;c:\windows\System32\svchost.exe -k getPlusHelper [19/10/2005 17:57 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
rlcveofy

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.rue89.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Bloquer cette fenêtre publicitaire - c:\program files\Securitoo\av_fw\Anti-Spyware\blockpopups.htm
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: Chercher avec Copernic Agent - c:\program files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - c:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - c:\progra~1\COPERN~1\COPERN~1.DLL
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - hxxp://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
FF - ProfilePath - c:\documents and settings\Alain\Application Data\Mozilla\Firefox\Profiles\rcwy3for.default\
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-ehA37.sys
SafeBoot-Windo18.sys
SafeBoot-Winnt20.sys
SafeBoot-Winqo01.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2009-10-08 17:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-567525336-1140064385-2066440111-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3392)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
c:\progra~1\COMMON~1\X10\Common\X10nets.exe
.
**************************************************************************
.
Heure de fin: 2009-10-08 17:37 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-10-08 15:37
ComboFix2.txt  2009-10-06 21:25
ComboFix3.txt  2009-09-28 14:15
C:\DeQuarantine.txt

Avant-CF: 44 941 398 016 octets libres
Après-CF: 44 985 470 976 octets libres

303	--- E O F ---	2009-09-22 17:25

Edit: j'ai oublié de te répondre: mon FAI est Neuf (SFR quoi)

Par contre, antivir n'arrive toujours pas à se connecter à internet pour se mettre à jour...

Modifié le 11 octobre 2009 par Dalek

oGu · le 12 octobre 2009

Re!

Il faut désinstaller AdAware qui est un produit médiocre.

VERIFICATION DES DNS

Va dans le menu "Démarrer"
Clique sur "Connexions": "Afficher toutes les connexions"
Une fenêtre s'ouvre: clique droit sur "Connexion au réseau local" et sélectionne "propriétés"
Dans le menu déroulant qui s'affiche, double-clique sur "Protocole internet"
Une nouvelle fenêtre s'affiche: en bas, EFFACE tout ce qu'il y a dans "Serveur DNS préféré" et "Serveurs DNS auxiliaire"
Une fois effacés, dans "Serveur DNS préféré", tape;

212.30.96.108

Puis dans "Serveurs DNS auxiliaire", tape:

213.203.124.146

Valide avec "ok" pour chacune des fenêtres
Fais redémarrer ta machine

RESET DU ROUTEUR

A l'arrière de ton routeur, il doit y avoir un mini trou: il permet de remettre ton routeur à zéro, si tu y introduis un trombone par exemple. Si cette ouverture n'est pas présente, débranche d'un coup le câble d'alimentation de ton routeur (mais pas la prise) et rebranche-le après avoir patienté quelques minutes.

Puis fais redémarrer ta machine, et essaie maintenant de mettre à jour Antivir: en cas d'échec signale-le moi.

CREATION/EXECUTION D'UN CFSCRIPT

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

Ouvre un nouveau fichier du Bloc-notes

"Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :

Folder::
c:\program files\Securitoo
c:\program files\Lavasoft

File::
c:\windows\system32\drivers\fsdfw.sys

Driver::
BackWeb Plug-in
FSFW

Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt

ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser pour votre propre PC sous risque de plantage!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin, poste le rapport suivant dans ta prochaine réponse :

- Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

On touche au but!

A+

Modifié le 12 octobre 2009 par oGu

Dalek · le 12 octobre 2009

Salut!

Bon, après toutes ces manipulations, Antivir parvient à se mettre à jour, tout seul, comme un grand!

Voici les rapports:

log.txt

ComboFix 09-10-11.03 - Alain 12/10/2009 21:06.6.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.664 [GMT 2:00]
Lancé depuis: c:\documents and settings\Alain\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Alain\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Securitoo AntiVirus Firewall 6.15 *On-access scanning enabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Pare-feu Online Armor *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
FW: Securitoo AntiVirus Firewall 6.15 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

FILE ::
"c:\windows\system32\drivers\fsdfw.sys"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\program files\Lavasoft\Ad-Aware\AAWLic.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
c:\program files\Lavasoft\Ad-Aware\Ad-Aware.exe
c:\program files\Lavasoft\Ad-Aware\Ad-Watch.exe
c:\program files\Lavasoft\Ad-Aware\alert.wav
c:\program files\Lavasoft\Ad-Aware\CEAPI.dll
c:\program files\Lavasoft\Ad-Aware\Help\Ad-Awaremanual-EN.chm
c:\program files\Lavasoft\Ad-Aware\Lang\DE.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\EN.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\ES.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\FL.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\FR.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\IT.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\NL.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\PT.lslang
c:\program files\Lavasoft\Ad-Aware\lavalicense.dll
c:\program files\Lavasoft\Ad-Aware\lavamessage.dll
c:\program files\Lavasoft\Ad-Aware\lsupdatemanager.exe
c:\program files\Lavasoft\Ad-Aware\pkarchive85u.dll
c:\program files\Lavasoft\Ad-Aware\Skin\Ad-Aware 2008.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Carbon.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Hawaii.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Metal.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Pink Friday.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Sedona.LGFF
c:\program files\Lavasoft\Ad-Aware\threatwork.exe
c:\program files\Lavasoft\Ad-Aware\unrar.dll
c:\program files\Lavasoft\Ad-Aware\update.dll
c:\program files\Lavasoft\Ad-Aware\upmanager.dll
c:\windows\system32\drivers\fsdfw.sys

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FSFW
-------\Service_FSFW


(((((((((((((((((((((((((((((   Fichiers créés du 2009-09-12 au 2009-10-12  ))))))))))))))))))))))))))))))))))))
.

2009-10-12 18:01 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-10-12 18:01 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-10-12 18:01 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-10-12 18:01 . 2009-10-12 18:01	--------	d-----w-	c:\program files\Avira
2009-10-12 18:01 . 2009-10-12 18:01	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2009-10-12 11:54 . 2009-10-12 11:54	--------	d-----w-	c:\documents and settings\Ugo\Application Data\OnlineArmor
2009-10-08 16:00 . 2009-10-12 17:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\OnlineArmor
2009-10-08 16:00 . 2009-10-08 16:00	--------	d-----w-	c:\documents and settings\Alain\Application Data\OnlineArmor
2009-10-08 15:53 . 2009-09-30 06:51	24656	----a-w-	c:\windows\system32\drivers\OAmon.sys
2009-10-08 15:53 . 2009-09-30 06:51	29776	----a-w-	c:\windows\system32\drivers\OAnet.sys
2009-10-08 15:53 . 2009-09-30 06:51	200784	----a-w-	c:\windows\system32\drivers\OADriver.sys
2009-10-08 15:53 . 2009-10-08 15:53	--------	d-----w-	c:\program files\Tall Emu
2009-09-28 16:08 . 2009-09-28 16:08	--------	d-sh--w-	c:\documents and settings\Ugo\PrivacIE
2009-09-24 07:22 . 2009-09-24 07:22	--------	d-----w-	c:\program files\NOS
2009-09-19 21:50 . 2009-09-19 21:50	--------	d-----w-	C:\rsit
2009-09-19 14:03 . 2009-09-19 14:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Malwarebytes
2009-09-19 09:25 . 2009-07-03 16:57	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-09-19 09:25 . 2009-07-03 16:57	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\Ugo\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-19 08:58 . 2009-09-19 08:58	--------	d-----w-	c:\program files\Microsoft Games

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 20:50 . 2008-03-30 18:37	--------	d-----w-	c:\program files\Steam
2009-09-29 22:10 . 2006-06-28 15:16	52008	----a-w-	c:\documents and settings\Alain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-28 16:08 . 2009-03-01 06:15	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2009-09-19 09:19 . 2008-10-28 14:00	--------	d-----w-	c:\documents and settings\Ugo\Application Data\uTorrent
2009-09-18 03:04 . 2006-07-06 08:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Canon
2009-09-08 06:27 . 2009-09-08 06:27	--------	d-----w-	c:\program files\Trend Micro
2009-09-08 04:32 . 2006-07-16 12:09	52008	----a-w-	c:\documents and settings\Ugo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-08 04:11 . 2005-10-19 15:58	82646	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-08 04:11 . 2005-10-19 15:58	505356	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-02 10:25 . 2006-07-06 07:41	--------	d-----w-	c:\program files\hp deskjet 940c series
2009-09-01 19:24 . 2007-11-07 14:41	138736	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-09-01 19:23 . 2007-11-07 14:41	188968	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-08-06 17:24 . 2005-10-19 07:08	327896	----a-w-	c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2005-10-19 07:08	209632	----a-w-	c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2005-10-19 09:19	44768	----a-w-	c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2005-10-19 07:08	35552	----a-w-	c:\windows\system32\wups.dll
2009-08-06 17:24 . 2005-10-19 07:08	53472	------w-	c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2005-10-19 15:57	96480	----a-w-	c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2005-10-19 07:08	575704	----a-w-	c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2005-11-02 15:31	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2005-10-19 07:08	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2009-08-06 17:23 . 2005-05-26 02:19	215920	----a-w-	c:\windows\system32\muweb.dll
2009-08-05 09:00 . 2005-10-19 15:57	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:35 . 2005-10-19 15:57	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-07-29 04:35 . 2005-10-19 15:57	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-07-17 19:03 . 2005-10-19 15:57	58880	----a-w-	c:\windows\system32\atl.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-28_14.09.53   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-01 04:41 . 2009-08-06 17:24	44768              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll
+ 2009-10-01 04:41 . 2009-08-06 17:24	35552              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll
+ 2008-01-13 20:47 . 2009-09-28 14:30	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-01-13 20:47 . 2009-02-20 17:02	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2009-10-12 18:01 . 2009-02-13 10:49	28376              c:\windows\system32\drivers\ssmdrv.sys
- 2009-08-30 00:16 . 2009-02-13 10:49	28376              c:\windows\system32\drivers\ssmdrv.sys
+ 2005-10-19 07:08 . 2009-08-06 17:24	35552              c:\windows\system32\dllcache\wups.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	53472              c:\windows\system32\dllcache\wuauclt.exe
+ 2005-10-19 15:57 . 2009-08-06 17:24	96480              c:\windows\system32\dllcache\cdm.dll
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-07-18 03:21 . 2009-07-18 03:21	257440              c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2005-10-19 07:08 . 2009-08-06 17:24	209632              c:\windows\system32\dllcache\wuweb.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	327896              c:\windows\system32\dllcache\wucltui.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	575704              c:\windows\system32\dllcache\wuapi.dll
+ 2009-07-18 03:21 . 2009-07-18 03:21	3883424              c:\windows\system32\Macromed\Flash\NPSWF32.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	1929952              c:\windows\system32\dllcache\wuaueng.dll
+ 2009-09-28 17:59 . 2009-09-28 17:59	1697792              c:\windows\Installer\236845.msp
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2007-09-07 155648]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2007-09-06 196608]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-07-16 282624]
"snpstd3"="c:\windows\vsnpstd3.exe" [2007-09-06 286720]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2009-09-30 6505160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CHotkey"="zHotkey.exe" - c:\windows\zHotkey.exe [2004-05-17 543232]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Estelle\Menu D‚marrer\Programmes\D‚marrage\
HotSync Manager.lnk - c:\program files\palmOne\HOTSYNC.EXE [2004-4-12 299008]
PowerReg Scheduler.exe [2006-9-30 233472]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2009-09-30 852680]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Documents and Settings\\Ugo\\Bureau\\msnmsgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Maïdo Production\\IziSpot 3\\IziSpot.exe"=
"c:\\Program Files\\FileZilla\\FileZilla.exe"=
"c:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Program Files\\GameSpy\\Comrade\\Comrade.exe"=
"c:\\Program Files\\Metin2_France\\metin2.bin"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\team fortress 2\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\source sdk base\\hl2.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\insurgency\\hl2.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\day of defeat source\\hl2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2354:TCP"= 2354:TCP:@xpsp2res.dll

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [08/10/2009 17:53 200784]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [08/10/2009 17:53 24656]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [08/10/2009 17:53 29776]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/10/2009 20:01 108289]
R2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [08/10/2009 17:53 1244360]
R2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [08/10/2009 17:53 3186376]
R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [04/10/2005 14:59 827008]
S2 AntiVirUpgradeService;Avira Upgrade Service;"c:\docume~1\Alain\LOCALS~1\Temp\AVSETUP_4ad36c90\basic\avupgsvc.exe" /TEMPSTART:""c:\docume~1\Alain\LOCALS~1\Temp\AVSETUP_4ad36c90\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\docume~1\Alain\LOCALS~1\Temp\AVSETUP_4ad36c90\basic\avupgsvc.exe [?]
S2 BackWeb Plug-in - 7431218;Antivirus Firewall;c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE --> c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE [?]
S2 rlcveofy;NVIDIA nForce Networking Controller Support;c:\windows\System32\svchost.exe -k netsvcs [19/10/2005 17:57 14336]
S3 getPlusHelper;getPlus® Helper;c:\windows\System32\svchost.exe -k getPlusHelper [19/10/2005 17:57 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
rlcveofy

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.rue89.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {65844C23-A603-4991-BD51-31A102DAC387} = 212.30.96.108,213.203.124.146
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - c:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - c:\progra~1\COPERN~1\COPERN~1.DLL
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - hxxp://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
FF - ProfilePath - c:\documents and settings\Alain\Application Data\Mozilla\Firefox\Profiles\rcwy3for.default\
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2009-10-12 21:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-567525336-1140064385-2066440111-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3644)
c:\program files\Tall Emu\Online Armor\OAwatch.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\rundll32.exe
c:\program files\Tall Emu\Online Armor\oahlp.exe
.
**************************************************************************
.
Heure de fin: 2009-10-12 21:35 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-10-12 19:35
ComboFix2.txt  2009-10-08 15:37
ComboFix3.txt  2009-10-06 21:25
ComboFix4.txt  2009-09-28 14:15

Avant-CF: 44 462 546 944 octets libres
Après-CF: 44 421 197 824 octets libres

293	--- E O F ---	2009-09-22 17:25

ComboFix.txt

ComboFix 09-10-11.03 - Alain 12/10/2009 21:06.6.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.664 [GMT 2:00]
Lancé depuis: c:\documents and settings\Alain\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Alain\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Securitoo AntiVirus Firewall 6.15 *On-access scanning enabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Pare-feu Online Armor *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
FW: Securitoo AntiVirus Firewall 6.15 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

FILE ::
"c:\windows\system32\drivers\fsdfw.sys"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\program files\Lavasoft\Ad-Aware\AAWLic.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
c:\program files\Lavasoft\Ad-Aware\Ad-Aware.exe
c:\program files\Lavasoft\Ad-Aware\Ad-Watch.exe
c:\program files\Lavasoft\Ad-Aware\alert.wav
c:\program files\Lavasoft\Ad-Aware\CEAPI.dll
c:\program files\Lavasoft\Ad-Aware\Help\Ad-Awaremanual-EN.chm
c:\program files\Lavasoft\Ad-Aware\Lang\DE.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\EN.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\ES.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\FL.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\FR.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\IT.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\NL.lslang
c:\program files\Lavasoft\Ad-Aware\Lang\PT.lslang
c:\program files\Lavasoft\Ad-Aware\lavalicense.dll
c:\program files\Lavasoft\Ad-Aware\lavamessage.dll
c:\program files\Lavasoft\Ad-Aware\lsupdatemanager.exe
c:\program files\Lavasoft\Ad-Aware\pkarchive85u.dll
c:\program files\Lavasoft\Ad-Aware\Skin\Ad-Aware 2008.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Carbon.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Hawaii.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Metal.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Pink Friday.LGFF
c:\program files\Lavasoft\Ad-Aware\Skin\Sedona.LGFF
c:\program files\Lavasoft\Ad-Aware\threatwork.exe
c:\program files\Lavasoft\Ad-Aware\unrar.dll
c:\program files\Lavasoft\Ad-Aware\update.dll
c:\program files\Lavasoft\Ad-Aware\upmanager.dll
c:\windows\system32\drivers\fsdfw.sys

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FSFW
-------\Service_FSFW


(((((((((((((((((((((((((((((   Fichiers créés du 2009-09-12 au 2009-10-12  ))))))))))))))))))))))))))))))))))))
.

2009-10-12 18:01 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-10-12 18:01 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-10-12 18:01 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-10-12 18:01 . 2009-10-12 18:01	--------	d-----w-	c:\program files\Avira
2009-10-12 18:01 . 2009-10-12 18:01	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2009-10-12 11:54 . 2009-10-12 11:54	--------	d-----w-	c:\documents and settings\Ugo\Application Data\OnlineArmor
2009-10-08 16:00 . 2009-10-12 17:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\OnlineArmor
2009-10-08 16:00 . 2009-10-08 16:00	--------	d-----w-	c:\documents and settings\Alain\Application Data\OnlineArmor
2009-10-08 15:53 . 2009-09-30 06:51	24656	----a-w-	c:\windows\system32\drivers\OAmon.sys
2009-10-08 15:53 . 2009-09-30 06:51	29776	----a-w-	c:\windows\system32\drivers\OAnet.sys
2009-10-08 15:53 . 2009-09-30 06:51	200784	----a-w-	c:\windows\system32\drivers\OADriver.sys
2009-10-08 15:53 . 2009-10-08 15:53	--------	d-----w-	c:\program files\Tall Emu
2009-09-28 16:08 . 2009-09-28 16:08	--------	d-sh--w-	c:\documents and settings\Ugo\PrivacIE
2009-09-24 07:22 . 2009-09-24 07:22	--------	d-----w-	c:\program files\NOS
2009-09-19 21:50 . 2009-09-19 21:50	--------	d-----w-	C:\rsit
2009-09-19 14:03 . 2009-09-19 14:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Malwarebytes
2009-09-19 09:25 . 2009-07-03 16:57	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-09-19 09:25 . 2009-07-03 16:57	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\Ugo\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-19 09:10 . 2009-09-19 09:10	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-19 09:10 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-19 08:58 . 2009-09-19 08:58	--------	d-----w-	c:\program files\Microsoft Games

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 20:50 . 2008-03-30 18:37	--------	d-----w-	c:\program files\Steam
2009-09-29 22:10 . 2006-06-28 15:16	52008	----a-w-	c:\documents and settings\Alain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-28 16:08 . 2009-03-01 06:15	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2009-09-19 09:19 . 2008-10-28 14:00	--------	d-----w-	c:\documents and settings\Ugo\Application Data\uTorrent
2009-09-18 03:04 . 2006-07-06 08:03	--------	d-----w-	c:\documents and settings\Alain\Application Data\Canon
2009-09-08 06:27 . 2009-09-08 06:27	--------	d-----w-	c:\program files\Trend Micro
2009-09-08 04:32 . 2006-07-16 12:09	52008	----a-w-	c:\documents and settings\Ugo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-08 04:11 . 2005-10-19 15:58	82646	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-08 04:11 . 2005-10-19 15:58	505356	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-02 10:25 . 2006-07-06 07:41	--------	d-----w-	c:\program files\hp deskjet 940c series
2009-09-01 19:24 . 2007-11-07 14:41	138736	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2009-09-01 19:23 . 2007-11-07 14:41	188968	----a-w-	c:\windows\system32\PnkBstrB.exe
2009-08-06 17:24 . 2005-10-19 07:08	327896	----a-w-	c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2005-10-19 07:08	209632	----a-w-	c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2005-10-19 09:19	44768	----a-w-	c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2005-10-19 07:08	35552	----a-w-	c:\windows\system32\wups.dll
2009-08-06 17:24 . 2005-10-19 07:08	53472	------w-	c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2005-10-19 15:57	96480	----a-w-	c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2005-10-19 07:08	575704	----a-w-	c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2005-11-02 15:31	274288	----a-w-	c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2005-10-19 07:08	1929952	----a-w-	c:\windows\system32\wuaueng.dll
2009-08-06 17:23 . 2005-05-26 02:19	215920	----a-w-	c:\windows\system32\muweb.dll
2009-08-05 09:00 . 2005-10-19 15:57	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-29 04:35 . 2005-10-19 15:57	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-07-29 04:35 . 2005-10-19 15:57	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-07-17 19:03 . 2005-10-19 15:57	58880	----a-w-	c:\windows\system32\atl.dll
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-09-28_14.09.53   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-01 04:41 . 2009-08-06 17:24	44768              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll
+ 2009-10-01 04:41 . 2009-08-06 17:24	35552              c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll
+ 2008-01-13 20:47 . 2009-09-28 14:30	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-01-13 20:47 . 2009-02-20 17:02	84661              c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2009-10-12 18:01 . 2009-02-13 10:49	28376              c:\windows\system32\drivers\ssmdrv.sys
- 2009-08-30 00:16 . 2009-02-13 10:49	28376              c:\windows\system32\drivers\ssmdrv.sys
+ 2005-10-19 07:08 . 2009-08-06 17:24	35552              c:\windows\system32\dllcache\wups.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	53472              c:\windows\system32\dllcache\wuauclt.exe
+ 2005-10-19 15:57 . 2009-08-06 17:24	96480              c:\windows\system32\dllcache\cdm.dll
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2005-10-19 07:11 . 2009-09-08 04:07	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2005-10-19 07:11 . 2009-10-06 21:04	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-07-18 03:21 . 2009-07-18 03:21	257440              c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2005-10-19 07:08 . 2009-08-06 17:24	209632              c:\windows\system32\dllcache\wuweb.dll
+ 2005-10-19 07:08 . 2009-08-06 17:24	327896              c:\windows\system32\dllcache\wucltui.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	575704              c:\windows\system32\dllcache\wuapi.dll
+ 2009-07-18 03:21 . 2009-07-18 03:21	3883424              c:\windows\system32\Macromed\Flash\NPSWF32.dll
+ 2005-10-19 07:08 . 2009-08-06 17:23	1929952              c:\windows\system32\dllcache\wuaueng.dll
+ 2009-09-28 17:59 . 2009-09-28 17:59	1697792              c:\windows\Installer\236845.msp
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 1957888]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2007-09-07 155648]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2007-09-06 196608]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-07-16 282624]
"snpstd3"="c:\windows\vsnpstd3.exe" [2007-09-06 286720]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2009-09-30 6505160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"CHotkey"="zHotkey.exe" - c:\windows\zHotkey.exe [2004-05-17 543232]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-10 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Estelle\Menu D‚marrer\Programmes\D‚marrage\
HotSync Manager.lnk - c:\program files\palmOne\HOTSYNC.EXE [2004-4-12 299008]
PowerReg Scheduler.exe [2006-9-30 233472]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2009-09-30 852680]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\NetMeeting\\Conf.exe"=
"c:\\Program Files\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Documents and Settings\\Ugo\\Bureau\\msnmsgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Maïdo Production\\IziSpot 3\\IziSpot.exe"=
"c:\\Program Files\\FileZilla\\FileZilla.exe"=
"c:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Program Files\\GameSpy\\Comrade\\Comrade.exe"=
"c:\\Program Files\\Metin2_France\\metin2.bin"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\team fortress 2\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\source sdk base\\hl2.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\insurgency\\hl2.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Steam\\steamapps\\thecrazydevil\\day of defeat source\\hl2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2354:TCP"= 2354:TCP:@xpsp2res.dll

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [08/10/2009 17:53 200784]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [08/10/2009 17:53 24656]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [08/10/2009 17:53 29776]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/10/2009 20:01 108289]
R2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [08/10/2009 17:53 1244360]
R2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [08/10/2009 17:53 3186376]
R3 3xHybrid;Pinnacle PCTV 300i Stereo DVB-T;c:\windows\system32\drivers\3xHybrid.sys [04/10/2005 14:59 827008]
S2 AntiVirUpgradeService;Avira Upgrade Service;"c:\docume~1\Alain\LOCALS~1\Temp\AVSETUP_4ad36c90\basic\avupgsvc.exe" /TEMPSTART:""c:\docume~1\Alain\LOCALS~1\Temp\AVSETUP_4ad36c90\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\docume~1\Alain\LOCALS~1\Temp\AVSETUP_4ad36c90\basic\avupgsvc.exe [?]
S2 BackWeb Plug-in - 7431218;Antivirus Firewall;c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE --> c:\progra~1\SECURI~1\av_fw\backweb\7431218\Program\SERVIC~1.EXE [?]
S2 rlcveofy;NVIDIA nForce Networking Controller Support;c:\windows\System32\svchost.exe -k netsvcs [19/10/2005 17:57 14336]
S3 getPlusHelper;getPlus® Helper;c:\windows\System32\svchost.exe -k getPlusHelper [19/10/2005 17:57 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
rlcveofy

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.rue89.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {65844C23-A603-4991-BD51-31A102DAC387} = 212.30.96.108,213.203.124.146
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - c:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - c:\progra~1\COPERN~1\COPERN~1.DLL
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - hxxp://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
FF - ProfilePath - c:\documents and settings\Alain\Application Data\Mozilla\Firefox\Profiles\rcwy3for.default\
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2009-10-12 21:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-567525336-1140064385-2066440111-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3644)
c:\program files\Tall Emu\Online Armor\OAwatch.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\rundll32.exe
c:\program files\Tall Emu\Online Armor\oahlp.exe
.
**************************************************************************
.
Heure de fin: 2009-10-12 21:35 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-10-12 19:35
ComboFix2.txt  2009-10-08 15:37
ComboFix3.txt  2009-10-06 21:25
ComboFix4.txt  2009-09-28 14:15

Avant-CF: 44 462 546 944 octets libres
Après-CF: 44 421 197 824 octets libres

293	--- E O F ---	2009-09-22 17:25

oGu · le 12 octobre 2009

Ok!

Quelques bricoles encore...

CREATION/EXECUTION D'UN CFSCRIPT NUMERO 1

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

Ouvre un nouveau fichier du Bloc-notes
"Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
```
Driver::
BackWeb Plug-in - 7431218

Folder::
c:\progra~1\SECURI~1\av_fw\backweb
```
Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt

ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser pour votre propre PC sous risque de plantage!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin, poste le rapport suivant dans ta prochaine réponse :

- Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

CREATION/EXECUTION D'UN CFSCRIPT NUMERO 2

Ouvre un nouveau fichier du Bloc-notes
"Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
```
DeQuarantine::
C:\Qoobox\Quarantine\C\WINDOWS\Downloaded Program Files

Quit::
```
Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt

ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser pour votre propre PC sous risque de plantage!!
Désactive ton antivirus et ton antispyware
Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
ComboFix sera lancé.
Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
Lorsque l'outil aura terminé, un rapport DeQuarantine.txt apparaîtra à l'écran.
Soumet le fichier en cliquant "OK"
Enfin, poste le rapport suivant dans ta prochaine réponse :

Pour la mise à jour d'Antivir:

ton virus avait détourné tes DNS, pour envoyer tes requêtes internet vers un serveur pirate, et en bloquant au passage les mises à jour virales: en rétablissant les DNS SFR (les bons, pas les DNS menteurs qu'utilise SFR en ce moment...), on a permis à Antivir de se mettre à jour. Du coup, après le CFScript, mets à jour Malwarebytes et scanne ta machine, puis poste le rapport s'il trouve un truc. Même chose pour Antivir.

Si ces deux AV ne trouvent rien, on en aura terminé: il ne restera plus qu'a nettoyer ton PC des outils que je t'ai fait utiliser, puis à le sécuriser davantage!

Tu peux aussi rétablir ton pare-feu et ton antivirus une fois les deux CFScripts utilisés.

A suivre!

oGu · le 29 octobre 2009

Y'a quelqu'un ici??

Connexion

Pas encore inscrit ?

Hijackthis

Messages recommandés

Dalek

oGu

Dalek

oGu

Dalek

oGu

Dalek

oGu

oGu

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer