Eradication malware, de l'aide svp !

[Golgoth_]

Bonjour à tous,

 

Je suis sous XP Pro SP3, j'ai été infecté par le virus Win32.Virut.ce.

j'ai donc isolé ma machine de mon reseau local et du net le plus rapidement possible.

Je me suis documenté sur le web et ai notamment parcouru avec beaucoup d'attention le processus de désinfection de cath1 et pear qui semble avoir fonctionné.

J'ai passé plusieurs fois DrWeb (scan complet avec archives) en mode sans échec ( et en le renommant) et en version LiveCD: il a désinfecté des fichiers (environ 300) et maintenant ne trouve plus rien.

J'ai aussi passé AVP Tool qui a désinfecté une 20aine de fichiers.

Je dispose des log de ces deux scans.

J'ai ensuite passé combofix (renommé) en mode sans echec, je pense qu'il detecte des malwares et c'est donc pour la phase de nettoyage avec Combofix et la suite que j'aimerais bien l'assistance d'un helper (pear? )

 

Quelques précisions:

Je n'ai plus accès au net depuis la machine infectée, des icones jaunes se trouvent dans mon panneau de config pour tout ce qui concerne le réseau.

Impossible de reinstaller un pilote de carte wifi ou ethernet.

J'ai téléchargé et reinstallé le SP3 fr, mais sans resultat.

Je dispose de mon CD de XP et la console de récuperation est installée.

Ma machine est stable et rapide, ce qui me fais penser qu'il y a moyen de la nettoyer.

 

 

Merci d'avance pour votre aide que j'attend impatiemment!

[pear]

Bonjour,

 

J'ai ensuite passé combofix (renommé) en mode sans echec,

 

Postez le rapport, svp.

[Golgoth_]

Bonjour pear,

 

Merci de me répondre et bravo pour votre aide apportée à catch1, ce thread a été très très instructif.

 

Voici mon rapport ComboFix

 

ComboFix 09-10-20.03 - MAD 21/10/2009 13:11.5.4 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3070.2671 [GMT 2:00]

Lancé depuis: c:\documents and settings\MAD\Bureau\CBF.exe

.

ADS - WINDOWS: deleted 0 bytes in 1 streams.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-21 au 2009-10-21 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-18 19:44 . 2009-05-29 05:23 4203392 ----a-w- c:\windows\system32\drivers\NETw5x32.sys

2009-10-18 19:44 . 2008-06-20 17:33 2756608 ----a-w- c:\windows\system32\NETw5r32.dll

2009-10-18 19:44 . 2008-06-20 17:32 663552 ----a-w- c:\windows\system32\NETw5c32.dll

2009-10-18 19:41 . 2006-08-15 03:09 83200 ----a-r- c:\windows\system32\drivers\Rtenicxp.sys

2009-10-18 18:59 . 2009-10-18 18:59 -------- d-----w- C:\spoolerlogs

2009-10-18 18:25 . 2007-02-25 05:05 2203520 ----a-w- c:\windows\system32\drivers\NETw4x32.sys

2009-10-18 18:25 . 2007-02-15 11:31 2756608 ----a-w- c:\windows\system32\NETw4r32.dll

2009-10-18 18:25 . 2007-02-15 11:30 679936 ----a-w- c:\windows\system32\NETw4c32.dll

2009-10-18 18:21 . 2009-10-18 18:21 -------- d-----w- c:\program files\DIFX

2009-10-18 17:47 . 2009-07-08 10:05 73728 ----a-r- c:\windows\system32\RtNicProp32.dll

2009-10-18 16:56 . 2009-10-18 16:56 -------- d-----w- c:\documents and settings\MAD\Application Data\Malwarebytes

2009-10-18 16:56 . 2009-10-18 16:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-10-17 20:02 . 2009-10-17 22:50 56320 ----a-w- c:\temp\ATF-Cleaner.exe

2009-10-17 14:54 . 2009-10-17 14:54 54621 ----a-w- c:\temp\MSWINSCK.zip

2009-10-17 14:42 . 2009-10-17 14:42 -------- d-----w- c:\documents and settings\MAD\DoctorWeb

2009-10-16 18:42 . 2009-10-16 18:42 -------- d-----r- c:\documents and settings\LocalService\Favoris

2009-10-16 16:47 . 2009-10-16 16:47 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll

2009-10-16 16:45 . 2009-10-21 00:06 -------- d-----w- c:\windows\ERUNT

2009-10-16 15:03 . 2009-10-16 15:03 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2009-10-13 22:04 . 2009-10-13 22:04 -------- d-----w- c:\program files\iPod

2009-10-13 22:03 . 2009-10-13 22:04 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-10-13 21:53 . 2009-10-13 21:54 93074728 ----a-w- c:\temp\iTunesSetup.exe

2009-10-06 21:56 . 2009-09-22 15:18 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-10-06 13:35 . 2009-10-06 13:35 -------- d-----w- c:\temp\fo-fr298

2009-10-06 13:35 . 2009-10-06 13:35 1311000 ----a-w- c:\temp\fo-fr298.zip

2009-10-06 12:47 . 2006-11-01 11:07 707384 ----a-w- c:\temp\Regmon.exe

2009-10-06 12:47 . 2009-10-06 12:47 271346 ----a-w- c:\temp\Regmon.zip

2009-10-06 11:41 . 2009-10-06 11:41 -------- d-----w- c:\documents and settings\MAD\Application Data\DivX

2009-10-06 11:38 . 2009-10-06 11:38 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2009-10-06 10:27 . 2009-10-06 10:27 -------- d-----w- c:\documents and settings\All Users\Application Data\TechSmith

2009-10-06 10:27 . 2009-10-06 10:27 -------- d-----w- c:\program files\Fichiers communs\TechSmith Shared

2009-10-05 14:58 . 2009-10-05 14:58 -------- d-----w- c:\documents and settings\MAD\Application Data\CopyTrans

2009-10-02 11:27 . 2009-10-02 11:27 1463824 ----a-w- c:\temp\HousecallLauncher.exe

2009-09-30 11:28 . 2009-09-30 11:28 1450765 ----a-w- c:\temp\Cult3D_Mozilla_5.3.0.154.exe

2009-09-24 09:35 . 2009-06-21 21:47 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

2009-09-24 09:34 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-21 10:50 . 2008-11-07 13:59 1324 ----a-w- c:\windows\system32\d3d9caps.dat

2009-10-21 00:00 . 2008-02-15 12:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-10-20 22:52 . 2008-12-02 22:11 147456 ----a-w- c:\windows\system32\nvcolor.exe

2009-10-20 22:52 . 2007-08-02 12:00 53760 ----a-w- c:\windows\system32\rsm.exe

2009-10-20 22:52 . 2007-08-02 12:00 32768 ----a-w- c:\windows\system32\wupdmgr.exe

2009-10-20 22:52 . 2008-02-14 07:11 116224 ----a-w- c:\windows\system32\calc.exe

2009-10-20 22:52 . 2007-08-02 12:00 30720 ----a-w- c:\windows\system32\lights.exe

2009-10-20 22:52 . 2001-08-23 17:47 59392 ----a-w- c:\windows\system32\dvdplay.exe

2009-10-20 22:52 . 2008-02-14 11:37 110592 ----a-w- c:\windows\StkC112X.exe

2009-10-20 11:33 . 2008-03-05 18:13 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-10-20 09:32 . 2008-02-17 20:48 -------- d-----w- c:\documents and settings\MAD\Application Data\uTorrent

2009-10-19 11:47 . 2009-04-19 11:29 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-10-19 11:15 . 2008-02-15 11:58 -------- d-----w- c:\program files\__utilz

2009-10-18 18:26 . 2008-02-14 11:26 319488 ----a-w- c:\windows\system32\AegisI5Installer.exe

2009-10-18 18:26 . 2008-02-14 11:26 21425 ----a-w- c:\windows\system32\drivers\AegisP.sys

2009-10-17 14:50 . 2008-02-14 07:11 230912 ----a-w- c:\windows\system32\wbem\wmiprvse.exe

2009-10-17 14:47 . 2002-09-23 06:30 45056 ----a-w- c:\windows\system32\drivers\SCTray.exe

2009-10-17 14:46 . 2006-09-28 17:56 148992 ----a-w- c:\windows\system32\WudfHost.exe

2009-10-17 14:46 . 2007-08-02 12:00 159744 ----a-w- c:\windows\system32\wscript.exe

2009-10-17 14:46 . 2008-02-14 07:12 8192 ----a-w- c:\windows\system32\write.exe

2009-10-17 14:46 . 2006-10-18 19:00 19968 ----a-w- c:\windows\system32\wpdshextautoplay.exe

2009-10-17 14:44 . 2007-08-02 12:00 24064 ----a-w- c:\windows\system32\nbtstat.exe

2009-10-17 14:43 . 2007-08-02 12:00 50176 ----a-w- c:\windows\system32\drwtsn32.exe

2009-10-17 12:51 . 2008-04-11 14:22 98304 ----a-w- c:\windows\DUMPe64a.tmp

2009-10-16 15:03 . 2008-02-18 02:10 361600 ----a-w- c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL

2009-10-13 22:08 . 2008-04-08 13:15 -------- d-----w- c:\documents and settings\MAD\Application Data\Apple Computer

2009-10-13 22:04 . 2008-09-02 14:28 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-10-13 22:02 . 2008-11-22 20:02 -------- d-----w- c:\program files\QuickTime

2009-10-09 20:33 . 2008-05-10 17:14 -------- d-----w- c:\documents and settings\MAD\Application Data\Skype

2009-09-24 09:46 . 2008-09-04 23:16 848 --sha-w- c:\documents and settings\All Users\Application Data\KGyGaAvL.sys

2009-09-24 09:39 . 2008-02-17 23:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-08-28 17:42 . 2009-06-19 00:24 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll

2009-08-28 17:42 . 2008-09-02 14:28 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-08-05 09:00 . 2007-08-02 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:35 . 2007-08-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-07-29 04:35 . 2007-08-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-28 15:55 . 2008-02-21 15:10 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdz.DAT

2009-07-28 15:55 . 2008-02-21 14:38 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdy.DAT

2009-07-28 15:55 . 2008-02-21 14:34 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLeh.DAT

.

 

------- Sigcheck -------

 

[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys

 

c:\windows\system32\drivers\ndis.sys ... manque !!

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

 

c:\documents and settings\MAD\Menu D‚marrer\Programmes\_u t i l z\D‚marrage\

_uninst_is-6HVHF.exe.bat [2009-10-21 105]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-7-21 626688]

Logitech SetPoint.lnk - c:\program files\__utilz\Logitech\SetPoint\SetPoint.exe [2008-2-20 789008]

Spyder3Utility.lnk - c:\program files\__gfx\Datacolor\Spyder3Pro\Utility\Spyder3Utility.exe [2008-12-5 8119870]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoFileAssociate"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-01-09 11:30 72208 ----a-w- c:\program files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ACT! Scheduler"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\__Bureautique\\ACT\\Act for Windows\\ActSage.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\__utilz\\CuteFTP 8 Professional\\ftpte.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\__utilz\\spotify.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\__utilz\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\__utilz\\iTunes\\iTunes.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

"30445:TCP"= 30445:TCP:System73

"60729:TCP"= 60729:TCP:System21

"16729:TCP"= 16729:TCP:System54

"39069:TCP"= 39069:TCP:System64

"20505:TCP"= 20505:TCP:System79

"22168:TCP"= 22168:TCP:System57

"37359:TCP"= 37359:TCP:System37

"38658:TCP"= 38658:TCP:System96

"55116:TCP"= 55116:TCP:System55

"16097:TCP"= 16097:TCP:System29

"4601:TCP"= 4601:TCP:System64

"44329:TCP"= 44329:TCP:System59

"61508:TCP"= 61508:TCP:System97

"39700:TCP"= 39700:TCP:System05

"18962:TCP"= 18962:TCP:System90

"7477:TCP"= 7477:TCP:System93

"56450:TCP"= 56450:TCP:System48

"23157:TCP"= 23157:TCP:System64

"40412:TCP"= 40412:TCP:System83

"18604:TCP"= 18604:TCP:System99

"22585:TCP"= 22585:TCP:System84

"32908:TCP"= 32908:TCP:System79

"31684:TCP"= 31684:TCP:System81

"23160:TCP"= 23160:TCP:System71

"51403:TCP"= 51403:TCP:System79

"29595:TCP"= 29595:TCP:System87

"30858:TCP"= 30858:TCP:System93

"9050:TCP"= 9050:TCP:System01

"4000:TCP"= 4000:TCP:System09

"49894:TCP"= 49894:TCP:System28

"60217:TCP"= 60217:TCP:System23

"60836:TCP"= 60836:TCP:System31

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

S1 zemmybfgw7;zemmybfgw7;c:\windows\system32\drivers\zemmybfgw7.sys --> c:\windows\system32\drivers\zemmybfgw7.sys [?]

S1 zesdvlwwgde3;zesdvlwwgde3.sys;c:\windows\system32\DRIVERS\zesdvlwwgde3.sys --> c:\windows\system32\DRIVERS\zesdvlwwgde3.sys [?]

S1 zfccxkxabniui7;zfccxkxabniui7;c:\windows\system32\drivers\zfccxkxabniui7.sys --> c:\windows\system32\drivers\zfccxkxabniui7.sys [?]

S1 zkihwuqqyuja3;zkihwuqqyuja3.sys;c:\windows\system32\DRIVERS\zkihwuqqyuja3.sys --> c:\windows\system32\DRIVERS\zkihwuqqyuja3.sys [?]

S1 zqecyocbb3;zqecyocbb3;c:\windows\system32\drivers\zqecyocbb3.sys --> c:\windows\system32\drivers\zqecyocbb3.sys [?]

S2 MSSQL$ACT7;SQL Server (ACT7);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [24/11/2008 22:31 29263712]

S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [14/02/2008 13:37 28672]

S3 hid8101;hid8101;c:\windows\system32\drivers\hid8101.sys [13/08/2008 21:37 31899]

S3 Spyder3;Datacolor Spyder3;c:\windows\system32\drivers\Spyder3.sys [06/11/2007 13:08 12288]

S3 StkCMini;Syntek AVStream USB2.0 2M WebCam;c:\windows\system32\drivers\StkCMini.sys [14/02/2008 13:37 1262720]

S4 ACT! Scheduler;ACT! Scheduler;c:\program files\__Bureautique\ACT\Act for Windows\Act.Scheduler.exe [05/09/2008 01:12 69632]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

BtwSrv

.

Contenu du dossier 'Tâches planifiées'

 

2008-09-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com/

uDefault_Search_URL = hxxp://www.google.com/ie

mWindow Title =

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

Trusted Zone: dyndns.org\qmadbrain

DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab

DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} - hxxp://www.piclens.com/shared/plinstll.cab

FF - ProfilePath - c:\documents and settings\MAD\Application Data\Mozilla\Firefox\Profiles\2rki8uc2.default\

FF - prefs.js: browser.startup.homepage - www.google.com

FF - plugin: c:\program files\__gfx\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\__utilz\DivX\DivX Web Player\npdivx32.dll

FF - plugin: c:\program files\__utilz\iTunes\Mozilla Plugins\npitunes.dll

FF - plugin: c:\program files\__utilz\VLC\npvlc.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMCult3DP.dll

FF - plugin: c:\windows\system32\Cult3D\NPMCult3DP.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-21 13:18

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-4084809789-2559371525-2969439946-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]

@Denied: (Full) (LocalSystem)

"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,15"

"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"

"{208D2C60-3AEA-1069-A2D7-08002B30309D}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"

"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,22"

"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,23"

"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,24"

"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="c:\\WINDOWS\\system32\\shell32.dll,-175"

"{21EC2020-3AEA-1069-A2DD-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-137"

"{2227A280-3AEA-1069-A2DE-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-138"

"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="c:\\WINDOWS\\system32\\shell32.dll,38"

"AudioCD"="c:\\WINDOWS\\System32\\shell32.dll,40"

"{FBF23B42-E3F0-101B-8488-00AA003E56F8}"="c:\\WINDOWS\\system32\\shell32.dll,220"

"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="c:\\WINDOWS\\system32\\mydocs.dll,0"

"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="c:\\WINDOWS\\system32\\main.cpl,10"

"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="c:\\WINDOWS\\system32\\wiashext.dll,0"

"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="c:\\WINDOWS\\system32\\mstask.dll,-100"

"{88C6C381-2E85-11D0-94DE-444553540000}"="c:\\WINDOWS\\System32\\occache.dll,0"

"{BDEADF00-C265-11d0-BCED-00A0C90AB50F}"="c:\\Program Files\\COMMON~1\\MICROS~1\\WEBFOL~1\\MSONSEXT.DLL,0"

"{FF393560-C2A7-11CF-BFF4-444553540000}"="c:\\WINDOWS\\System32\\shdocvw.dll,-20785"

"{F5175861-2688-11d0-9C5E-00AA00A45957}"="c:\\WINDOWS\\System32\\webcheck.dll,0"

"{85BBD920-42A0-1069-A2E4-08002B30309D}"="c:\\WINDOWS\\system32\\syncui.dll,0"

 

[HKEY_USERS\S-1-5-21-4084809789-2559371525-2969439946-1006\Software\SecuROM\License information*]

"datasecu"=hex:7e,f2,17,06,04,2d,7e,dd,ec,ae,6c,5a,ab,a9,44,57,f0,ec,67,8e,af,

f1,18,1e,6d,8c,01,88,e3,d6,ed,4b,78,78,b5,34,e0,22,12,46,09,61,5f,51,d9,c7,\

"rkeysecu"=hex:1f,67,57,22,1f,7b,1e,04,15,06,75,56,56,da,76,1b

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(248)

c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll

c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll

.

Heure de fin: 2009-10-21 13:20

ComboFix-quarantined-files.txt 2009-10-21 11:20

 

Avant-CF: 12 993 937 408 octets libres

Après-CF: 12 970 008 576 octets libres

 

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - 1642D5E23A8123291F247967002D7039

 

 

voila

[pear]

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

c:\windows\system32\drivers\zemmybfgw7.sys

c:\windows\system32\DRIVERS\zesdvlwwgde3.sys

c:\windows\system32\drivers\zfccxkxabniui7.sys

c:\windows\system32\DRIVERS\zkihwuqqyuja3.sys

c:\windows\system32\drivers\zqecyocbb3.sys

 

Driver::

zemmybfgw7

zesdvlwwgde3

zfccxkxabniui7

zkihwuqqyuja3

zqecyocbb3

 

Fcopy::

c:\windows\ServicePackFiles\i386\ndis.sys|c:\windows\system32\drivers\ndis.sys

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

[Golgoth_]

Pear,

 

Voila le log Combofix apres passage d evoitre script, je precise que j'etais en mode sans echec et que combofix a redemarré le pc 2 fois.

Je me suis remis en mode sans echec et au lancement de windows j'ai eu une erreur comme quoi mon profil utilisateur etait endommagé et qu'il chargeait un profil temporaire.

Pour info, j'ai aussi été faire un tour dans le gestionnaire de periph et je n'ai plus aucun point d'exclamation jaune, tout mes periph semblent intallés correctement et en etat de fonctionnement.

 

Voila le log Combofix:

 

ComboFix 09-10-20.03 - MAD 21/10/2009 15:26.6.4 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3070.2693 [GMT 2:00]

Lancé depuis: c:\documents and settings\MAD\Bureau\CBF.exe

Commutateurs utilisés :: c:\documents and settings\MAD\Bureau\CFScript.txt

 

FILE ::

"c:\windows\system32\drivers\zemmybfgw7.sys"

"c:\windows\system32\DRIVERS\zesdvlwwgde3.sys"

"c:\windows\system32\drivers\zfccxkxabniui7.sys"

"c:\windows\system32\DRIVERS\zkihwuqqyuja3.sys"

"c:\windows\system32\drivers\zqecyocbb3.sys"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

--------------- FCopy ---------------

 

c:\windows\ServicePackFiles\i386\ndis.sys --> c:\windows\system32\drivers\ndis.sys

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_zemmybfgw7

-------\Service_zesdvlwwgde3

-------\Service_zfccxkxabniui7

-------\Service_zkihwuqqyuja3

-------\Service_zqecyocbb3

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-21 au 2009-10-21 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-21 13:34 . 2009-10-21 13:34 -------- d-----w- c:\documents and settings\TEMP

2009-10-21 13:26 . 2008-04-13 19:20 182656 ----a-w- c:\windows\system32\drivers\ndis.sys

2009-10-21 12:41 . 2009-10-21 12:42 -------- d-----w- c:\temp\Rapports_Scans

2009-10-21 10:31 . 2009-10-21 11:10 -------- d-----w- C:\ComboFix

2009-10-20 11:40 . 2009-10-20 11:40 -------- d-----w- c:\windows\LastGood

2009-10-19 11:29 . 2008-04-13 17:33 81920 ------w- c:\windows\system32\ieencode.dll

2009-10-18 19:44 . 2009-05-29 05:23 4203392 ----a-w- c:\windows\system32\drivers\NETw5x32.sys

2009-10-18 19:44 . 2008-06-20 17:33 2756608 ----a-w- c:\windows\system32\NETw5r32.dll

2009-10-18 19:44 . 2008-06-20 17:32 663552 ----a-w- c:\windows\system32\NETw5c32.dll

2009-10-18 19:41 . 2006-08-15 03:09 83200 ----a-r- c:\windows\system32\drivers\Rtenicxp.sys

2009-10-18 18:59 . 2009-10-18 18:59 -------- d-----w- C:\spoolerlogs

2009-10-18 18:25 . 2007-02-25 05:05 2203520 ----a-w- c:\windows\system32\drivers\NETw4x32.sys

2009-10-18 18:25 . 2007-02-15 11:31 2756608 ----a-w- c:\windows\system32\NETw4r32.dll

2009-10-18 18:25 . 2007-02-15 11:30 679936 ----a-w- c:\windows\system32\NETw4c32.dll

2009-10-18 18:21 . 2009-10-18 18:21 -------- d-----w- c:\program files\DIFX

2009-10-18 17:47 . 2009-07-08 10:05 73728 ----a-r- c:\windows\system32\RtNicProp32.dll

2009-10-18 16:56 . 2009-10-18 16:56 -------- d-----w- c:\documents and settings\MAD\Application Data\Malwarebytes

2009-10-18 16:56 . 2009-10-18 16:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-10-17 20:02 . 2009-10-17 22:50 56320 ----a-w- c:\temp\ATF-Cleaner.exe

2009-10-17 14:54 . 2009-10-17 14:54 54621 ----a-w- c:\temp\MSWINSCK.zip

2009-10-17 14:42 . 2009-10-17 14:42 -------- d-----w- c:\documents and settings\MAD\DoctorWeb

2009-10-16 18:42 . 2009-10-16 18:42 -------- d-----r- c:\documents and settings\LocalService\Favoris

2009-10-16 16:47 . 2009-10-16 16:47 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll

2009-10-16 16:45 . 2009-10-21 00:06 -------- d-----w- c:\windows\ERUNT

2009-10-16 15:03 . 2009-10-16 15:03 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2009-10-13 22:04 . 2009-10-13 22:04 -------- d-----w- c:\program files\iPod

2009-10-13 22:03 . 2009-10-13 22:04 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-10-13 21:53 . 2009-10-13 21:54 93074728 ----a-w- c:\temp\iTunesSetup.exe

2009-10-06 21:56 . 2009-09-22 15:18 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-10-06 13:35 . 2009-10-06 13:35 -------- d-----w- c:\temp\fo-fr298

2009-10-06 13:35 . 2009-10-06 13:35 1311000 ----a-w- c:\temp\fo-fr298.zip

2009-10-06 12:47 . 2006-11-01 11:07 707384 ----a-w- c:\temp\Regmon.exe

2009-10-06 12:47 . 2009-10-06 12:47 271346 ----a-w- c:\temp\Regmon.zip

2009-10-06 11:41 . 2009-10-06 11:41 -------- d-----w- c:\documents and settings\MAD\Application Data\DivX

2009-10-06 11:38 . 2009-10-06 11:38 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2009-10-06 10:27 . 2009-10-06 10:27 -------- d-----w- c:\documents and settings\All Users\Application Data\TechSmith

2009-10-06 10:27 . 2009-10-06 10:27 -------- d-----w- c:\program files\Fichiers communs\TechSmith Shared

2009-10-05 14:58 . 2009-10-05 14:58 -------- d-----w- c:\documents and settings\MAD\Application Data\CopyTrans

2009-10-02 11:27 . 2009-10-02 11:27 1463824 ----a-w- c:\temp\HousecallLauncher.exe

2009-09-30 11:28 . 2009-09-30 11:28 1450765 ----a-w- c:\temp\Cult3D_Mozilla_5.3.0.154.exe

2009-09-24 09:35 . 2009-06-21 21:47 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

2009-09-24 09:34 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-21 10:50 . 2008-11-07 13:59 1324 ----a-w- c:\windows\system32\d3d9caps.dat

2009-10-21 00:00 . 2008-02-15 12:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-10-20 22:52 . 2008-12-02 22:11 147456 ----a-w- c:\windows\system32\nvcolor.exe

2009-10-20 22:52 . 2007-08-02 12:00 53760 ----a-w- c:\windows\system32\rsm.exe

2009-10-20 22:52 . 2007-08-02 12:00 32768 ----a-w- c:\windows\system32\wupdmgr.exe

2009-10-20 22:52 . 2008-02-14 07:11 116224 ----a-w- c:\windows\system32\calc.exe

2009-10-20 22:52 . 2007-08-02 12:00 30720 ----a-w- c:\windows\system32\lights.exe

2009-10-20 22:52 . 2001-08-23 17:47 59392 ----a-w- c:\windows\system32\dvdplay.exe

2009-10-20 22:52 . 2008-02-14 11:37 110592 ----a-w- c:\windows\StkC112X.exe

2009-10-20 11:33 . 2008-03-05 18:13 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-10-20 09:32 . 2008-02-17 20:48 -------- d-----w- c:\documents and settings\MAD\Application Data\uTorrent

2009-10-19 11:47 . 2009-04-19 11:29 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-10-19 11:15 . 2008-02-15 11:58 -------- d-----w- c:\program files\__utilz

2009-10-18 18:26 . 2008-02-14 11:26 319488 ----a-w- c:\windows\system32\AegisI5Installer.exe

2009-10-18 18:26 . 2008-02-14 11:26 21425 ----a-w- c:\windows\system32\drivers\AegisP.sys

2009-10-17 14:50 . 2008-02-14 07:11 230912 ----a-w- c:\windows\system32\wbem\wmiprvse.exe

2009-10-17 14:47 . 2002-09-23 06:30 45056 ----a-w- c:\windows\system32\drivers\SCTray.exe

2009-10-17 14:46 . 2006-09-28 17:56 148992 ----a-w- c:\windows\system32\WudfHost.exe

2009-10-17 14:46 . 2007-08-02 12:00 159744 ----a-w- c:\windows\system32\wscript.exe

2009-10-17 14:46 . 2008-02-14 07:12 8192 ----a-w- c:\windows\system32\write.exe

2009-10-17 14:46 . 2006-10-18 19:00 19968 ----a-w- c:\windows\system32\wpdshextautoplay.exe

2009-10-17 14:44 . 2007-08-02 12:00 24064 ----a-w- c:\windows\system32\nbtstat.exe

2009-10-17 14:43 . 2007-08-02 12:00 50176 ----a-w- c:\windows\system32\drwtsn32.exe

2009-10-17 12:51 . 2008-04-11 14:22 98304 ----a-w- c:\windows\DUMPe64a.tmp

2009-10-16 15:03 . 2008-02-18 02:10 361600 ----a-w- c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL

2009-10-13 22:08 . 2008-04-08 13:15 -------- d-----w- c:\documents and settings\MAD\Application Data\Apple Computer

2009-10-13 22:04 . 2008-09-02 14:28 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-10-13 22:02 . 2008-11-22 20:02 -------- d-----w- c:\program files\QuickTime

2009-10-09 20:33 . 2008-05-10 17:14 -------- d-----w- c:\documents and settings\MAD\Application Data\Skype

2009-09-24 09:46 . 2008-09-04 23:16 848 --sha-w- c:\documents and settings\All Users\Application Data\KGyGaAvL.sys

2009-09-24 09:39 . 2008-02-17 23:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-08-28 17:42 . 2009-06-19 00:24 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll

2009-08-28 17:42 . 2008-09-02 14:28 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-08-05 09:00 . 2007-08-02 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:35 . 2007-08-02 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-07-29 04:35 . 2007-08-02 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-28 15:55 . 2008-02-21 15:10 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdz.DAT

2009-07-28 15:55 . 2008-02-21 14:38 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdy.DAT

2009-07-28 15:55 . 2008-02-21 14:34 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLeh.DAT

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"NeroHomeFirstStart"="c:\program files\Fichiers communs\Nero\Lib\NMFirstStart.exe" [2008-02-28 19752]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

 

c:\documents and settings\MAD\Menu D‚marrer\Programmes\_u t i l z\D‚marrage\

_uninst_is-6HVHF.exe.bat [2009-10-21 105]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-7-21 626688]

Logitech SetPoint.lnk - c:\program files\__utilz\Logitech\SetPoint\SetPoint.exe [2008-2-20 789008]

Spyder3Utility.lnk - c:\program files\__gfx\Datacolor\Spyder3Pro\Utility\Spyder3Utility.exe [2008-12-5 8119870]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoFileAssociate"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-01-09 11:30 72208 ----a-w- c:\program files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"ACT! Scheduler"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\__Bureautique\\ACT\\Act for Windows\\ActSage.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\__utilz\\CuteFTP 8 Professional\\ftpte.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\__utilz\\spotify.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\__utilz\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\__utilz\\iTunes\\iTunes.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

"30445:TCP"= 30445:TCP:System73

"60729:TCP"= 60729:TCP:System21

"16729:TCP"= 16729:TCP:System54

"39069:TCP"= 39069:TCP:System64

"20505:TCP"= 20505:TCP:System79

"22168:TCP"= 22168:TCP:System57

"37359:TCP"= 37359:TCP:System37

"38658:TCP"= 38658:TCP:System96

"55116:TCP"= 55116:TCP:System55

"16097:TCP"= 16097:TCP:System29

"4601:TCP"= 4601:TCP:System64

"44329:TCP"= 44329:TCP:System59

"61508:TCP"= 61508:TCP:System97

"39700:TCP"= 39700:TCP:System05

"18962:TCP"= 18962:TCP:System90

"7477:TCP"= 7477:TCP:System93

"56450:TCP"= 56450:TCP:System48

"23157:TCP"= 23157:TCP:System64

"40412:TCP"= 40412:TCP:System83

"18604:TCP"= 18604:TCP:System99

"22585:TCP"= 22585:TCP:System84

"32908:TCP"= 32908:TCP:System79

"31684:TCP"= 31684:TCP:System81

"23160:TCP"= 23160:TCP:System71

"51403:TCP"= 51403:TCP:System79

"29595:TCP"= 29595:TCP:System87

"30858:TCP"= 30858:TCP:System93

"9050:TCP"= 9050:TCP:System01

"4000:TCP"= 4000:TCP:System09

"49894:TCP"= 49894:TCP:System28

"60217:TCP"= 60217:TCP:System23

"60836:TCP"= 60836:TCP:System31

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

S2 MSSQL$ACT7;SQL Server (ACT7);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [24/11/2008 22:31 29263712]

S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [14/02/2008 13:37 28672]

S3 hid8101;hid8101;c:\windows\system32\drivers\hid8101.sys [13/08/2008 21:37 31899]

S3 Spyder3;Datacolor Spyder3;c:\windows\system32\drivers\Spyder3.sys [06/11/2007 13:08 12288]

S3 StkCMini;Syntek AVStream USB2.0 2M WebCam;c:\windows\system32\drivers\StkCMini.sys [14/02/2008 13:37 1262720]

S4 ACT! Scheduler;ACT! Scheduler;c:\program files\__Bureautique\ACT\Act for Windows\Act.Scheduler.exe [05/09/2008 01:12 69632]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

BtwSrv

.

Contenu du dossier 'Tâches planifiées'

 

2008-09-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

.

.

------- Examen supplémentaire -------

.

mWindow Title =

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab

DPF: {EAC139A9-D22D-4C29-8D1C-252BE63750F9} - hxxp://www.piclens.com/shared/plinstll.cab

FF - ProfilePath - c:\documents and settings\MAD\Application Data\Mozilla\Firefox\Profiles\2rki8uc2.default\

FF - prefs.js: browser.startup.homepage - www.google.com

FF - plugin: c:\program files\__gfx\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\__utilz\DivX\DivX Web Player\npdivx32.dll

FF - plugin: c:\program files\__utilz\iTunes\Mozilla Plugins\npitunes.dll

FF - plugin: c:\program files\__utilz\VLC\npvlc.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMCult3DP.dll

FF - plugin: c:\windows\system32\Cult3D\NPMCult3DP.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-21 15:35

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(256)

c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll

c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll

 

- - - - - - - > 'explorer.exe'(1624)

c:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\cbf\CF18805.exe

c:\cbf\PEV.cfxxe

.

**************************************************************************

.

Heure de fin: 2009-10-21 15:39 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-10-21 13:39

ComboFix2.txt 2009-10-21 11:20

 

Avant-CF: 12 989 882 368 octets libres

Après-CF: 12 802 551 808 octets libres

 

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - 48C729EFE620CA577A829496081F901E

[pear]

Pour moi, c'est bon.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Pour supprimer Combofix:

 

Démarrer > Exécuter ->ComboFix /uninstall

 

Supprimez C:\qoobox si vous le trouvez

 

Il ne vous servirait à rien de garder des outils de désinfection qui sont constamment mis à jours et seraient obsolètes en quelques jours.

 

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

[Golgoth_]

C'est bon?!!

Vous voulez dire que nous avons vaincu ce satanné de virut?

Pas de rootkit en vu?

 

Est-ce que je dois faire d'autres scans par precaution? (antivir, kapersky en-ligne, Drweb...)

 

Pour ma protection une fois reconnecté, j'utilise spywareblaster, spybot et antivir, est-ce optimal ou y a-t-il mieux a faire ?

 

Je fais les dernieres manip que vous m'avez demandé et je reviens vers vous pour vous dire comment se porte ma machine.

 

Un grand merci, pear, pour la qualité et la rapidité de votre intervention

[Golgoth_]

J'ai redemarré normalement, le systeme semble bien fonctionner excepté des legers freeze de temps à autre, mais c'est rare

Pas de process bizzares, j'ai repassé un spybot, il ne trouve plus rien.

 

Par contre je n'ai pas pu trouver C:\qoobox pour le supprimer

 

J'ai reactivé la connection wifi, je suis connecté mais aucune page ne s'affiche dans IE et avec Firefox non plus.

J'ai fait un ipconfig /all mais tout semble parfaitement configuré comme avant à l'exception qu'il me met des signes bizzares à la place des accents dans la fenetre DOS.

Je peux aller sur mon reseau local, mais pas sur le net

J'ai réparé la connection, aucun changement non plus.

j'ai fais un netsh winsock reset catalog, rien non plus...

 

Il y aurait-il encore un malware qui m'empeche d'acceder au net?

Ne voyez vous rien dans mon dernier log combofix qui pourrait en etre la cause?

 

Peut-etre reinstaller le service pack 3 ou TCP IP ?

 

Etrange que je puisse aller sur mon reseau mais pas sur le net....en tout cas j'avoue que je ne sais pas trop quoi faire

[pear]

Bonsoir,

 

Suivez ces pistes, en testant après chacune.

 

 

Pour réparer la connexion Internet:

 

Panneau de configuration->Connexions réseaux->Propriétés->Réparer

Pour Windows XP SP2 il est possible de refaire un reset de Winsock

(dans le cas où un virus se charge dans les LSP il sera supprimé aussi),

cela se fait comme ceci :

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Redémarrez l'ordinateur.

 

Démarrez en mode sans échec.

Choisissez la session administrateur

Copiez collez tout ce qui suit En vertdans le bloc notes.

Enregistrez sous repar.bat sur le bureau

double clicquez sur repar.bat.

Vous devez voir apparaitre un message"2 fichiers copiés"

 

@echo off

copy /Y c:\windows\ServicePackFiles\i386\ntfs.sys c:\windows\system32\drivers

copy /Y c:\windows\$NtServicePackUninstall$\tcpip.sys c:\windows\system32\drivers

echo

Pause

 

autre solution:

 

Télécharger WinsockXPFix (par Option^Explicit)

- Lancez l'outil WinsockXPFix.exe par double-clic ;

- Cliquez le bouton "Fix"

- Fermez l'outil lorsque terminé.

Copier/Coller dans le bloc notes,

[version]

signature="$CHICAGO$"

 

[DefaultInstall]

DelReg=DelTemps

AddReg=AddTemps

 

[DelTemps]

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

 

; Recreate the keys to avoid a restart

 

[AddTemps]

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

 

Enregistrer sous deldomains.inf, sur le bureau

- Faites un clic droit sur le fichier deldomains et choisissez "Installer" (clic gauche) du menu contextuel.

- Redémarrer la machine et testez la connexion Internet

 

 

La fonction Easy Pairing censée apporter des amélioration (fonction qui permet de simplifier la configuration WiFi sécurisée) semble ne pas être totalement au point puisqu’une fois désactivé le débit retrouve des couleurs et passe de l’orange au vert, l’utilisation du web peut donc démarrer normalement, à l’orange c’est limite l,e ROUGE est l’arrêt total.

Si vous avez rencontré des problèmes de wifi avec votre livebox, posez vous cette question mais n’hésitez pas à contacter la hotline orange avant toutes manipulation sur votre livebox si vous ne connaissez pas trop!

 

Si le portable est un Acer,

c'est Le logiciel Acer Enet Management qui gère toutes les connexion réseau.

Il faut soit faire les modifications dans ce log, soit le désactiver pour redonner la main aux outils Microsoft.

[/color]

 

Pour réparer le wifi:Sous Xp:

erreur 1068

Copiez/collez dans le bloc notes

Enregistrez sous wifi.bat , sur le bureau

double clic pour le lancer

@echo off

sc config RPC start= auto

sc config WZCSVC start= auto

Net start RPC

Net start WZCSVC

 

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous wifi.reg

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"Tag"=dword:0000000b

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6e,00,64,00,69,00,73,00,75,00,69,\

00,6f,00,2e,00,73,00,79,00,73,00,00,00

"DisplayName"="NDIS mode utilisateur E/S Protocole"

"Group"="NDIS"

"Description"="NDIS mode utilisateur E/S Protocole"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Linkage]

"Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,41,00,33,\

00,42,00,45,00,44,00,30,00,36,00,41,00,2d,00,43,00,46,00,37,00,34,00,2d,00,\

34,00,31,00,45,00,35,00,2d,00,42,00,31,00,42,00,34,00,2d,00,34,00,35,00,38,\

00,41,00,41,00,46,00,41,00,33,00,36,00,38,00,43,00,41,00,7d,00,00,00,00,00

"Route"=hex(7):22,00,7b,00,41,00,33,00,42,00,45,00,44,00,30,00,36,00,41,00,2d,\

00,43,00,46,00,37,00,34,00,2d,00,34,00,31,00,45,00,35,00,2d,00,42,00,31,00,\

42,00,34,00,2d,00,34,00,35,00,38,00,41,00,41,00,46,00,41,00,33,00,36,00,38,\

00,43,00,41,00,7d,00,22,00,00,00,00,00

"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,64,00,69,\

00,73,00,75,00,69,00,6f,00,5f,00,7b,00,41,00,33,00,42,00,45,00,44,00,30,00,\

36,00,41,00,2d,00,43,00,46,00,37,00,34,00,2d,00,34,00,31,00,45,00,35,00,2d,\

00,42,00,31,00,42,00,34,00,2d,00,34,00,35,00,38,00,41,00,41,00,46,00,41,00,\

33,00,36,00,38,00,43,00,41,00,7d,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Enum]

"0"="Root\\LEGACY_NDISUIO\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

Pour réparer le wifi: Sous Vista

 

Vérifiez que ces services soient démarrés en automatique

NativeWiFi Filter

Protocole EAP (Extensible Authentification Protocol)

 

Copiez/collez dans le bloc notes

Enregistrez sous wifi.bat , sur le bureau

double clic pour le lancer

@echo off

sc config RPC start= auto

sc config WZCSVC start= auto

Net start RPC

Net start WZCSVC

 

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous wifi.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"Tag"=dword:0000000d

"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6e,00,64,00,69,00,73,00,75,00,69,\

00,6f,00,2e,00,73,00,79,00,73,00,00,00

"DisplayName"="NDIS Usermode I/O Protocol"

"Group"="NDIS"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Linkage]

"Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,32,00,38,\

00,46,00,42,00,41,00,39,00,33,00,45,00,2d,00,45,00,32,00,34,00,43,00,2d,00,\

34,00,46,00,30,00,32,00,2d,00,41,00,37,00,37,00,39,00,2d,00,30,00,42,00,41,\

00,37,00,37,00,46,00,46,00,44,00,33,00,38,00,37,00,42,00,7d,00,00,00,5c,00,\

44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,33,00,30,00,36,00,35,00,39,\

00,36,00,33,00,42,00,2d,00,31,00,46,00,42,00,44,00,2d,00,34,00,41,00,43,00,\

39,00,2d,00,42,00,33,00,45,00,30,00,2d,00,43,00,46,00,38,00,39,00,33,00,31,\

00,30,00,44,00,34,00,45,00,44,00,32,00,7d,00,00,00,5c,00,44,00,65,00,76,00,\

69,00,63,00,65,00,5c,00,7b,00,43,00,38,00,45,00,32,00,32,00,43,00,30,00,43,\

00,2d,00,31,00,31,00,32,00,32,00,2d,00,34,00,42,00,37,00,39,00,2d,00,38,00,\

38,00,33,00,37,00,2d,00,46,00,31,00,38,00,37,00,42,00,38,00,42,00,44,00,39,\

00,31,00,37,00,44,00,7d,00,00,00,00,00

"Route"=hex(7):22,00,7b,00,32,00,38,00,46,00,42,00,41,00,39,00,33,00,45,00,2d,\

00,45,00,32,00,34,00,43,00,2d,00,34,00,46,00,30,00,32,00,2d,00,41,00,37,00,\

37,00,39,00,2d,00,30,00,42,00,41,00,37,00,37,00,46,00,46,00,44,00,33,00,38,\

00,37,00,42,00,7d,00,22,00,00,00,22,00,7b,00,33,00,30,00,36,00,35,00,39,00,\

36,00,33,00,42,00,2d,00,31,00,46,00,42,00,44,00,2d,00,34,00,41,00,43,00,39,\

00,2d,00,42,00,33,00,45,00,30,00,2d,00,43,00,46,00,38,00,39,00,33,00,31,00,\

30,00,44,00,34,00,45,00,44,00,32,00,7d,00,22,00,00,00,22,00,7b,00,43,00,38,\

00,45,00,32,00,32,00,43,00,30,00,43,00,2d,00,31,00,31,00,32,00,32,00,2d,00,\

34,00,42,00,37,00,39,00,2d,00,38,00,38,00,33,00,37,00,2d,00,46,00,31,00,38,\

00,37,00,42,00,38,00,42,00,44,00,39,00,31,00,37,00,44,00,7d,00,22,00,00,00,\

00,00

"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,64,00,69,\

00,73,00,75,00,69,00,6f,00,5f,00,7b,00,32,00,38,00,46,00,42,00,41,00,39,00,\

33,00,45,00,2d,00,45,00,32,00,34,00,43,00,2d,00,34,00,46,00,30,00,32,00,2d,\

00,41,00,37,00,37,00,39,00,2d,00,30,00,42,00,41,00,37,00,37,00,46,00,46,00,\

44,00,33,00,38,00,37,00,42,00,7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,\

00,65,00,5c,00,4e,00,64,00,69,00,73,00,75,00,69,00,6f,00,5f,00,7b,00,33,00,\

30,00,36,00,35,00,39,00,36,00,33,00,42,00,2d,00,31,00,46,00,42,00,44,00,2d,\

00,34,00,41,00,43,00,39,00,2d,00,42,00,33,00,45,00,30,00,2d,00,43,00,46,00,\

38,00,39,00,33,00,31,00,30,00,44,00,34,00,45,00,44,00,32,00,7d,00,00,00,5c,\

00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,64,00,69,00,73,00,75,00,\

69,00,6f,00,5f,00,7b,00,43,00,38,00,45,00,32,00,32,00,43,00,30,00,43,00,2d,\

00,31,00,31,00,32,00,32,00,2d,00,34,00,42,00,37,00,39,00,2d,00,38,00,38,00,\

33,00,37,00,2d,00,46,00,31,00,38,00,37,00,42,00,38,00,42,00,44,00,39,00,31,\

00,37,00,44,00,7d,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Enum]

"0"="Root\\LEGACY_NDISUIO\00"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc]

"DisplayName"="@%SystemRoot%\\System32\\wlansvc.dll,-257"

"ErrorControl"=dword:00000001

"Group"="TDI"

"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,79,00,73,00,74,00,65,00,6d,\

00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,72,00,\

69,00,63,00,74,00,65,00,64,00,00,00

"Start"=dword:00000002

"Type"=dword:00000020

"Description"="@%SystemRoot%\\System32\\wlansvc.dll,-258"

"DependOnService"=hex(7):6e,00,61,00,74,00,69,00,76,00,65,00,77,00,69,00,66,00,\

69,00,70,00,00,00,52,00,70,00,63,00,53,00,73,00,00,00,4e,00,64,00,69,00,73,\

00,75,00,69,00,6f,00,00,00,45,00,61,00,70,00,68,00,6f,00,73,00,74,00,00,00,\

00,00

"ObjectName"="LocalSystem"

"ServiceSidType"=dword:00000001

"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\

00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\

67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\

00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\

00,00,53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,00,69,00,76,00,69,\

00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,\

69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,00,62,\

00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\

00,00

"FailureActions"=hex:2c,01,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\

00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc\Parameters]

"ServiceDllUnloadOnStop"=dword:00000001

"ServiceMain"="WlanSvcMain"

"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\

00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\

77,00,6c,00,61,00,6e,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc\Parameters\OEM]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wlansvc\Parameters\WlanAPIPermissions]

"Permit List"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Deny List"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"AC Enabled"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"BC Scan Enabled"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"BSS Type"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Show Denied"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Interface Properties"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Ihv Control"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"All User Profiles Order"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Add New All User Profiles"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCWPRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO

)(A;;CCWPRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(A;;CCWPRC;;;BA)(A;;CCDCWPS

DRCWD;;;BA)(D;;FA;;;WD)"

"Add New Per User Profiles"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Media Streaming Mode Enabled"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCDCWPSDRCWD;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCW

D;;;NO)(A;;CCRC;;;BA)(A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

"Current Operation Mode"="O:SYG:SYD:(A;;CCRC;;;BU)(A;;CCRC;;;NO)(A;;CCDCWPSDRCWD;;;NO)(A;;CCRC;;;BA)(

A;;CCDCWPSDRCWD;;;BA)(D;;FA;;;WD)"

 

 

Si dans Hijackthis, vous avez ( O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll)

 

1. Téléchargez LSPfix

Sous Vista,

# Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

# Cliquez sur Activer ou désactiver le contrôle des comptes d'utilisateurs.

# Décochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

Vous ferez l'opération inverse par la suite.

 

2. Lancez l'application (Exécutez la) et agrandissez la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.

3. Déconnectez-vous d'Internet et fermez toutes les instances (fenêtres) Internet Explorer.

4. Cochez la case "I know what I'm doing" ("Je sais ce que je fais").

5. Sélectionnez toutes les instances de la dll néfaste( O10 - Unknown file in Winsock LSP: c:\winnt\system32\machinchose.dll)

 

et rien d'autre et faites les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove").

6. Cliquez sur le bouton "Finish".

7. Maintenant, redémarrez votre ordinateur en mode sans echec

8. Rechercher et détruire le fichier machinchose.dll lui-même.

 

LSPs et Windows XP

Si vous avez XP Home ou XP Pro, forcez Windows à détruire et reconstruire à neuf son protocole tcp/ip grâce à l'utilitaire NetShell qui s'utilise en ligne de commande (fenêtre de lignes de commande)

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

 

 

Les infections Koobfaceinstallent un proxy , empêchant une connexion normale

Sous Vista, la désactivation du proxy dans IE ne suffit pas à rétablir les mises à jour.

Pour rétablir Windows Update, il faut lancer la commande suivante (avec les droits administrateur):

Démarrer->Exécuter

netsh winhttp reset proxy

[Golgoth_]

Bonsoir,

 

Merci pour toutes ces manip, j'espere que il y en a une qui va marcher

 

La premiere n'a rien fait et je suis sur la deuxieme, en vert ci-dessous.

 

@echo off

copy /Y c:\windows\ServicePackFiles\i386\ntfs.sys c:\windows\system32\drivers

copy /Y c:\windows\$NtServicePackUninstall$\tcpip.sys c:\windows\system32\drivers

echo

Pause

 

Le problème c'est que je n'ai pas de dossier $NtServicePackUninstall$ donc il ne trouve pas tcpip.sys

J'ai mon CD de windows si ca peut aider, sinon j'ai fais une recherche de tcpip.sys dans mon systeme et j'en ai dans les dossiers suivant:

 

c:\windows\ERDNT\cache

c:\windows\ServicePackFiles\i386\

c:\windows\system32\drivers <- un fichier qui s'appelle TCPIP.SYS.ORIGINAL

 

 

Qu'en pensez-vous?