Fenêtre CID voir plus...

[pear]

Bonjour,

Combofix a nettoyé 2 saletés et le MBR rootkité.

Reste ceci:

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Folder::

Driver::

npggsvc

File::

c:\windows\system32\GameMon.des -service

Fcopy::

Rootkit::

Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\npggsvc]

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

Cela fait , j'attends vos commentaires avant de vous faire désinstaller Combofix.

[Moondarim]

Bonsoir,

 

Voici le rapport ComboFix:

 

ComboFix 10-01-03.05 - Choucri 04/01/2010 16:37:45.4.4 - x86

Microsoft® Windows Vista™ Édition Intégrale 6.0.6002.2.1252.33.1036.18.3326.2429 [GMT 1:00]

Lancé depuis: c:\users\Choucri\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\Choucri\Desktop\CFScript.txt

AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: ESET Personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

SP: ESET Smart Security 3.0 *disabled* (Updated) {E5E70D32-0101-4B98-A4D6-D1D15C3BB448}

SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

* Un antivirus résident est actif

 

 

FILE ::

"c:\windows\system32\GameMon.des -service"

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-12-04 au 2010-01-04 ))))))))))))))))))))))))))))))))))))

.

 

2010-01-04 15:46 . 2010-01-04 15:46 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-01-04 15:46 . 2010-01-04 15:46 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-01-03 19:32 . 2010-01-04 15:49 -------- d-----w- c:\users\Choucri\AppData\Local\temp

2010-01-03 12:48 . 2010-01-03 12:48 -------- d-----w- c:\program files\BandiMPEG1

2010-01-03 12:22 . 2010-01-03 12:23 -------- d-----w- c:\programdata\Nexon

2010-01-02 16:10 . 2010-01-02 21:58 -------- d-----w- C:\UsbFix

2010-01-02 14:40 . 2010-01-02 14:41 -------- d-----w- C:\rsit

2010-01-02 12:50 . 2010-01-02 12:56 -------- d-----w- C:\Lop SD

2010-01-01 18:23 . 2010-01-01 18:41 -------- d-----w- c:\program files\Ad-Remover

2010-01-01 14:17 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-01 14:17 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-01-01 14:17 . 2010-01-01 14:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-01-01 14:01 . 2010-01-01 14:01 -------- d-----w- c:\program files\Sophos

2010-01-01 13:55 . 2010-01-01 13:55 -------- d-----w- c:\program files\WC3Banlist

2010-01-01 13:28 . 2010-01-01 13:42 -------- d-----w- c:\program files\KeyScrambler

2010-01-01 13:28 . 2009-10-04 21:33 115312 ----a-w- c:\windows\system32\drivers\keyscrambler.sys

2010-01-01 12:44 . 2010-01-01 12:45 -------- d-----w- c:\users\Choucri\{dc67bf30-3422-4244-aa2b-7160d0fe491a}

2010-01-01 12:23 . 2009-08-17 00:32 4223008 ----a-w- c:\windows\system32\NVStWiz.exe

2010-01-01 12:22 . 2009-11-19 20:42 592488 ----a-w- c:\windows\system32\nvuninst.exe

2009-12-31 17:05 . 2010-01-01 12:20 -------- d-----w- c:\program files\a-squared Free

2009-12-31 17:02 . 2009-12-31 17:02 -------- d-----w- c:\users\Choucri\AppData\Roaming\Malwarebytes

2009-12-31 17:02 . 2009-12-31 17:02 -------- d-----w- c:\programdata\Malwarebytes

2009-12-31 16:12 . 2010-01-01 11:14 -------- d-----w- c:\program files\trend micro

2009-12-29 08:13 . 2009-03-09 14:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll

2009-12-29 08:13 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll

2009-12-29 08:13 . 2009-03-09 14:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll

2009-12-29 08:13 . 2009-03-16 13:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll

2009-12-29 08:13 . 2009-03-16 13:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll

2009-12-29 08:13 . 2009-03-16 13:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll

2009-12-29 08:13 . 2009-03-16 13:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll

2009-12-29 08:13 . 2008-10-15 05:22 452440 ----a-w- c:\windows\system32\d3dx10_40.dll

2009-12-29 08:13 . 2008-10-15 05:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll

2009-12-29 08:13 . 2008-10-15 05:22 2036576 ----a-w- c:\windows\system32\D3DCompiler_40.dll

2009-12-28 09:52 . 2009-11-24 14:27 53616 ----a-w- c:\windows\system32\CMStarter_Eng.dll

2009-12-28 09:52 . 2009-11-24 14:27 53616 ----a-w- c:\windows\system32\CMStarter_Kor.dll

2009-12-28 09:52 . 2009-11-24 14:27 364912 ----a-w- c:\windows\system32\CMStarterCore.exe

2009-12-27 20:15 . 2009-12-27 20:15 -------- d-----w- C:\%APPDATA%

2009-12-27 19:21 . 2009-12-27 19:21 -------- dc----w- c:\programdata\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}

2009-12-27 18:23 . 2009-12-27 18:23 -------- d-----w- c:\users\Default\AppData\Local\Mozilla

2009-12-27 18:02 . 2009-12-27 18:34 680 ----a-w- c:\users\Default\AppData\Local\d3d9caps.dat

2009-12-27 15:24 . 2009-12-27 15:24 -------- d-sh--w- c:\windows\%APPDATA%

2009-12-27 09:13 . 2008-01-21 02:22 179200 ---h-tw- c:\windows\system32\f6205de.dll

2009-12-27 09:13 . 2008-01-21 02:22 179200 ---h-tw- c:\windows\system32\f23aa23.dll

2009-12-25 20:14 . 2010-01-03 12:46 -------- d-----w- C:\Nexon

2009-12-24 15:48 . 2009-12-24 15:48 -------- d-----w- c:\program files\Conduit

2009-12-19 14:48 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod178.dll

2009-12-11 12:04 . 2009-11-09 12:30 8192 ----a-w- c:\windows\system32\iisrstap.dll

2009-12-11 12:04 . 2009-11-09 10:48 14848 ----a-w- c:\windows\system32\iisreset.exe

2009-12-11 12:04 . 2009-11-09 12:31 24064 ----a-w- c:\windows\system32\nshhttp.dll

2009-12-11 12:04 . 2009-11-09 12:30 153600 ----a-w- c:\windows\system32\iisRtl.dll

2009-12-11 12:04 . 2009-11-09 12:28 27136 ----a-w- c:\windows\system32\ahadmin.dll

2009-12-11 12:04 . 2009-11-09 12:28 51712 ----a-w- c:\windows\system32\admwprox.dll

2009-12-11 12:04 . 2009-11-09 12:32 10752 ----a-w- c:\windows\system32\wamregps.dll

2009-12-11 12:04 . 2009-11-09 12:30 30720 ----a-w- c:\windows\system32\httpapi.dll

2009-12-11 12:04 . 2009-11-09 10:36 411648 ----a-w- c:\windows\system32\drivers\http.sys

2009-12-09 12:39 . 2009-12-09 13:01 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment

2009-12-08 22:27 . 2009-12-28 09:52 -------- d-----w- c:\program files\WEBZEN

2009-12-08 10:49 . 2009-12-08 10:49 9279 ----a-w- c:\windows\scunin.dat

2009-12-08 10:49 . 2009-12-08 10:49 967 ----a-w- c:\windows\ScUnin.pif

2009-12-08 10:49 . 2009-12-08 10:49 67584 ----a-w- c:\windows\ScUnin.exe

2009-12-08 10:48 . 2009-12-10 10:58 -------- d-----w- C:\Starcraft

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-04 15:49 . 2010-01-01 12:43 33069 ----a-w- c:\programdata\nvModes.dat

2010-01-04 15:29 . 2008-01-21 08:04 17600 ----a-w- c:\windows\system32\perfh00C.dat

2010-01-04 15:29 . 2008-01-21 08:04 154256 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-03 19:12 . 2008-11-06 18:50 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2010-01-03 16:31 . 2009-11-15 07:57 -------- d-----w- c:\users\Choucri\AppData\Roaming\vlc

2010-01-03 15:50 . 2009-12-01 20:12 1 ----a-w- c:\users\Choucri\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-01-03 12:46 . 2010-01-03 12:46 770792 ----a-w- c:\programdata\Nexon\NGM\NGMDll.dll

2010-01-03 12:46 . 2010-01-03 12:46 475888 ----a-w- c:\programdata\Nexon\NGM\NGMResource.dll

2010-01-03 12:46 . 2010-01-03 12:46 307944 ----a-w- c:\programdata\Nexon\Common\nmcogame.dll

2010-01-03 12:46 . 2010-01-03 12:46 131808 ----a-w- c:\programdata\Nexon\NGM\nxgame.dll

2010-01-03 12:46 . 2010-01-03 12:46 103136 ----a-w- c:\programdata\Nexon\NGM\npNxGame.dll

2010-01-03 12:46 . 2010-01-03 12:46 176864 ----a-w- c:\programdata\Nexon\NGM\NGM.exe

2010-01-02 10:45 . 2008-05-17 16:12 105688 ----a-w- c:\users\Choucri\AppData\Local\GDIPFONTCACHEV1.DAT

2010-01-01 15:00 . 2009-08-21 17:13 -------- d-----w- c:\users\Choucri\AppData\Roaming\Winamp

2010-01-01 13:55 . 2008-05-17 18:04 -------- d-----w- c:\program files\Common Files\Logishrd

2010-01-01 12:43 . 2009-05-12 20:44 -------- d-----w- c:\programdata\NVIDIA

2010-01-01 12:22 . 2008-05-17 16:12 2032 ----a-w- c:\users\Choucri\AppData\Local\d3d9caps.dat

2010-01-01 12:21 . 2009-06-10 08:33 -------- d-----w- c:\program files\NVIDIA Corporation

2009-12-31 15:44 . 2009-07-16 06:29 -------- d-----w- c:\program files\Pando Networks

2009-12-30 14:05 . 2008-12-11 14:42 -------- d-----w- c:\program files\Steam

2009-12-29 08:13 . 2009-11-01 11:40 -------- d-----w- c:\users\Choucri\AppData\Roaming\runic games

2009-12-28 09:52 . 2008-05-17 16:17 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-12-27 22:34 . 2008-11-06 18:50 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-12-27 14:34 . 2008-10-18 22:45 -------- d-----w- c:\program files\VuPassword

2009-12-27 14:30 . 2009-10-21 22:12 -------- d-----w- c:\program files\Common Files\BioWare

2009-12-24 13:35 . 2008-06-10 20:21 -------- d-----w- c:\users\Choucri\AppData\Roaming\uTorrent

2009-12-22 04:12 . 2009-12-22 04:12 1790688 ----a-w- c:\programdata\Nexon\Common\NMService.exe

2009-12-22 04:12 . 2009-12-22 04:12 1700584 ----a-w- c:\programdata\Nexon\Common\nmconew.dll

2009-12-17 15:16 . 2009-12-17 15:16 61789728 ----a-w- c:\users\Choucri\AppData\Roaming\Nokia\Ovi Suite\Software Updater\NokiaOviSuite2Installer.exe

2009-12-10 10:58 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2009-12-10 10:56 . 2008-07-31 08:58 -------- d-----w- c:\programdata\Microsoft Help

2009-12-09 18:36 . 2009-05-30 17:24 -------- d-----w- c:\users\Choucri\AppData\Roaming\Skype

2009-12-09 18:35 . 2009-05-30 17:26 -------- d-----w- c:\users\Choucri\AppData\Roaming\skypePM

2009-12-01 20:15 . 2009-06-02 21:15 -------- d-----w- c:\users\Choucri\AppData\Roaming\Orbit

2009-12-01 20:11 . 2009-12-01 20:11 -------- d-----w- c:\users\Choucri\AppData\Roaming\OpenOffice.org

2009-12-01 20:10 . 2009-12-01 20:10 -------- d-----w- c:\program files\OpenOffice.org 3

2009-11-30 19:33 . 2008-10-17 17:41 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2009-11-30 17:02 . 2009-11-30 17:02 171144 ----a-w- c:\windows\system32\xliveinstall.dll

2009-11-30 17:02 . 2009-11-30 17:02 72840 ----a-w- c:\windows\system32\xliveinstallhost.exe

2009-11-30 16:54 . 2009-11-30 16:54 12728 ----a-w- c:\windows\system32\JRSUKD25.SYS

2009-11-30 16:54 . 2009-11-30 16:54 124216 ----a-r- c:\windows\system32\CKAgent.exe

2009-11-30 16:54 . 2009-10-02 18:36 677176 ----a-w- c:\windows\system32\CKSetup32.exe

2009-11-21 06:40 . 2009-12-10 00:24 916480 ----a-w- c:\windows\system32\wininet.dll

2009-11-21 06:34 . 2009-12-10 00:24 71680 ----a-w- c:\windows\system32\iesetup.dll

2009-11-21 06:34 . 2009-12-10 00:24 109056 ----a-w- c:\windows\system32\iesysprep.dll

2009-11-21 04:59 . 2009-12-10 00:24 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2009-11-19 15:48 . 2008-12-11 14:42 -------- d-----w- c:\program files\Common Files\Steam

2009-11-19 15:38 . 2009-11-19 15:38 -------- d-----w- c:\program files\JoWooD

2009-11-18 00:26 . 2009-11-18 00:26 -------- d-----w- c:\program files\Windows Portable Devices

2009-11-18 00:26 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat

2009-11-18 00:26 . 2009-11-18 00:26 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf

2009-11-18 00:26 . 2009-11-18 00:26 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf

2009-11-17 23:01 . 2008-05-19 19:39 -------- d-----w- c:\program files\DivX

2009-11-13 20:16 . 2008-11-06 20:36 -------- d-----w- c:\users\Choucri\AppData\Roaming\Nokia

2009-11-13 16:16 . 2009-11-13 16:16 -------- d-----w- c:\program files\Neoact

2009-11-13 12:31 . 2009-11-01 11:39 -------- d-----w- c:\program files\Runic Games

2009-11-10 07:43 . 2008-11-07 22:12 -------- d-----w- c:\program files\Common Files\Nokia

2009-11-10 07:42 . 2008-11-06 20:09 -------- d-----w- c:\program files\Nokia

2009-11-10 07:42 . 2009-11-10 07:42 -------- d-----w- c:\program files\PC Connectivity Solution

2009-11-10 07:40 . 2009-11-10 07:40 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf

2009-11-10 07:39 . 2009-11-10 07:39 12212040 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe

2009-11-10 07:39 . 2009-11-10 07:39 13930312 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe

2009-11-10 07:39 . 2009-11-10 07:39 77824 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\Run_XML6_SP1.exe

2009-11-10 07:39 . 2009-11-10 07:39 61440 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMF11Runx86.exe

2009-11-10 07:39 . 2009-11-10 07:39 58880 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMF11Runx64.exe

2009-11-10 07:39 . 2009-11-10 07:39 50000 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\pcswpc.exe

2009-11-10 07:39 . 2009-11-10 07:39 -------- d-----w- c:\programdata\OviInstallerCache

2009-11-10 07:39 . 2009-11-10 07:39 94628904 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Nokia_Ovi_Suite_11_update.exe

2009-11-10 07:37 . 2008-11-06 20:10 -------- d-----w- c:\program files\DIFX

2009-11-10 07:28 . 2008-11-06 20:23 -------- d-----w- c:\programdata\Installations

2009-11-10 07:25 . 2009-11-10 07:25 36864 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe

2009-11-10 07:25 . 2009-11-10 07:25 3351812 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe

2009-11-10 07:25 . 2009-11-10 07:25 3203453 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe

2009-11-10 07:24 . 2009-11-10 07:26 24443520 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_1.8.10FR.exe

2009-11-06 09:59 . 2009-11-06 09:59 15406728 ----a-w- c:\windows\system32\xlive.dll

2009-11-06 09:59 . 2009-11-06 09:59 13642888 ----a-w- c:\windows\system32\xlivefnt.dll

2009-11-05 06:46 . 2009-11-05 06:46 79144 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe

2009-11-05 06:45 . 2009-09-08 10:40 38208 ----a-w- c:\users\Choucri\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-05 06:45 . 2009-09-08 10:40 38208 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-02 19:42 . 2009-10-07 17:04 195456 ------w- c:\windows\system32\MpSigStub.exe

2009-11-01 11:25 . 2008-06-14 17:47 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-10-29 09:17 . 2009-11-28 07:17 2048 ----a-w- c:\windows\system32\tzres.dll

2009-10-27 08:44 . 2009-10-27 08:44 809496 ----a-r- c:\windows\system32\tmpCE69.tmp

2009-10-20 16:32 . 2009-10-20 16:32 123760 ---ha-w- c:\windows\system32\mlfcache.dat

2009-10-08 21:08 . 2009-11-17 05:19 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll

2009-10-08 21:08 . 2009-11-17 05:19 234496 ----a-w- c:\windows\system32\oleacc.dll

2009-10-08 21:07 . 2009-11-17 05:19 4096 ----a-w- c:\windows\system32\oleaccrc.dll

2009-10-08 18:07 . 2009-04-18 15:12 1203888 ----a-w- c:\users\Choucri\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe

2009-10-08 18:07 . 2009-10-08 18:07 155312 ----a-w- c:\users\Choucri\AppData\Roaming\GameRanger\GameRanger\Data\GameRanger.dll

2009-10-07 11:36 . 2009-12-10 00:24 243712 ----a-w- c:\windows\system32\rastls.dll

2008-11-27 14:31 . 2008-11-27 14:21 24 --sh--w- c:\windows\S5ED83BD8.tmp

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"WinampAgent"="e:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"SoundTray"="c:\program files\Analog Devices\SoundMAX\SoundTray.exe" [2007-08-02 53248]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-08-28 1282048]

"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-10-24 1451264]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-11-30 289584]

"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2009-10-27 401728]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"KeyScrambler"="c:\program files\KeyScrambler\getting_started.html" [X]

 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-5-17 805392]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"FilterAdministratorToken"= 1 (0x1)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer4"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):11,08,a7,53,2d,52,ca,01

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2198041117-2445679867-2677068143-1000]

"EnableNotificationsRef"=dword:00000001

 

R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [21/12/2007 09:21 468224]

R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [06/11/2008 19:50 1153368]

R3 KeyScrambler;KeyScrambler;c:\windows\System32\drivers\keyscrambler.sys [01/01/2010 14:28 115312]

R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\System32\drivers\libusb0.sys [11/07/2008 21:52 33792]

S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\System32\drivers\CM108.sys [18/02/2009 12:35 1307136]

S3 DAUpdaterSvc;Dragon Age: Origins - Application de mise à jour;c:\games\Dragon Age\bin_ship\daupdatersvc.service.exe [05/11/2009 07:40 25832]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [26/11/2008 12:10 23152]

S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:21 21504]

S3 JRSUKD24;JRSUKD24;c:\windows\System32\JRSUKD24.sys [28/10/2007 19:31 6784]

S3 netr28u;RT2870 USB Wireless LAN Card Driver for Vista;c:\windows\System32\drivers\netr28u.sys [17/05/2008 17:27 552448]

S3 npf;NetGroup Packet Filter Driver;c:\windows\System32\drivers\npf.sys [01/06/2008 08:13 34064]

S3 PS3 Media Server;PS3 Media Server;e:\program files\PS3 Media Server\win32\service\wrapper.exe [17/08/2008 09:40 217088]

S4 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]

S4 sptd;sptd;c:\windows\System32\drivers\sptd.sys [14/06/2008 18:47 691696]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

.

Contenu du dossier 'Tâches planifiées'

 

2010-01-04 c:\windows\Tasks\User_Feed_Synchronization-{0D0E0635-D129-4021-95AD-3F5136A6BA98}.job

- c:\windows\system32\msfeedssync.exe [2009-12-10 04:59]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://start.nexon.com

uInternet Settings,ProxyOverride = *.local

IE: Ajouter au fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir en Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien en Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien en un fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir la sélection en Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la sélection en un fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir les liens sélectionnés en fichier Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convertir les liens sélectionnés en un fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

DPF: {4ABB12B3-8A8B-481D-874A-93E16F930A8B} - hxxps://members.hangame.com/common/CKKeyProInst.cab

DPF: {C044CD87-DFB0-4130-A5E4-49361106FBC8} - hxxp://id.hangame.com/common/HanSetup1020.cab

DPF: {D89D97A9-12C5-45E3-9353-3540761FE15C} - hxxp://channel.dontblynk.com/Launcher/SealWebLaunch.CAB

FF - ProfilePath - c:\users\Choucri\AppData\Roaming\Mozilla\Firefox\Profiles\fy08l4er.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

FF - component: c:\program files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\components\FirefoxExtension.dll

FF - component: c:\users\Choucri\AppData\Roaming\Mozilla\Firefox\Profiles\fy08l4er.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll

FF - component: c:\users\Choucri\AppData\Roaming\Mozilla\Firefox\Profiles\fy08l4er.default\extensions\keyscrambler@qfx.software.corporation\components\KeyScramblerIE.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\Download Manager\npfpdlm.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiautoinstallpluginff.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiFFPlugin1.dll

FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll

FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll

FF - plugin: c:\program files\WEBZEN\WebzenGameStarter\NPGameWebStarter.dll

FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\programdata\Nexon\NGM\npNxGame.dll

FF - plugin: e:\program files\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-04 16:49

Windows 6.0.6002 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0xC27CE618]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xc95c3d24

\Driver\ACPI -> acpi.sys @ 0xc8e97d68

\Driver\atapi -> ataport.SYS @ 0xc8fa6a2c

IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\EverestDriver]

"ImagePath"="\??\c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\7953.tmp"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-2198041117-2445679867-2677068143-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AD066DBB-B434-304D-1171-81E591AC3A77}*]

"maeimlfjeehofienicfkjmembp"=hex:69,61,70,62,6b,64,68,70,6b,6f,6a,6f,6b,6e,67,

6e,62,65,00,6e

"nakhgmgodpdaaeoohdolpaombefk"=hex:6a,61,70,62,69,63,6e,69,64,62,69,69,68,70,

67,70,6c,62,63,6e,00,62

 

[HKEY_USERS\S-1-5-21-2198041117-2445679867-2677068143-1000\Software\SecuROM\License information*]

"datasecu"=hex:07,b3,55,66,60,bf,b5,d2,7a,e1,06,b3,c8,ca,98,a5,45,d1,42,79,75,

fd,0b,39,c4,ef,06,5c,eb,b5,79,39,9f,20,50,c6,73,e1,9d,17,8c,cc,2b,f9,bc,77,\

"rkeysecu"=hex:98,0a,59,29,6d,b2,24,bd,10,f2,31,73,9f,78,43,8b

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'Explorer.exe'(2516)

c:\program files\Logitech\SetPoint\GameHook.dll

c:\program files\Logitech\SetPoint\lgscroll.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\windows\system32\nvvsvc.exe

c:\windows\system32\AEADISRV.EXE

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

e:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\WUDFHost.exe

c:\program files\ASUS\AASP\1.00.59\aaCenter.exe

c:\windows\system32\conime.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2010-01-04 16:57:36 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-01-04 15:57

ComboFix2.txt 2010-01-03 19:32

 

Avant-CF: 30 533 697 536 octets libres

Après-CF: 30 425 587 712 octets libres

 

- - End Of File - - B9A690CEDB22DF8237027604B6385D8E

 

Voici une copie de mon antivirus Nod32 log detected threats (j'ai remplacé http par des ****). Comme vous pouvez le voir y'a eux pas mal de mouvement aujourd'hui.

 

04/01/2010 16:40:31 Real-time file system protection file C:\Windows\system32\xxop81.dll Win32/TrojanProxy.Agent.NFV trojan cleaned by deleting - quarantined Event occurred during an attempt to access the file by the application: C:\Windows\system32\findstr.exe.

04/01/2010 16:37:45 Real-time file system protection file C:\Users\Choucri\AppData\Local\Temp\Av-test.txt Eicar test file cleaned by deleting - quarantined Event occurred on a new file created by the application: C:\ComboFix\CF19436.cfxxe.

04/01/2010 16:11:12 HTTP filter file ****://91.212.226.180/y3.exe a variant of Win32/TrojanProxy.Agent.NFV trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

04/01/2010 16:06:12 HTTP filter file ****://91.212.226.180/y3.exe a variant of Win32/TrojanProxy.Agent.NFV trojan connection terminated - quarantined AUTORITE NT\SYSTEM Threat was detected upon access to web by the application: C:\Windows\System32\svchost.exe.

02/01/2010 03:00:01 Startup scanner file C:\Windows\system32\Drivers\bxxfof.sys a variant of Win32/Rootkit.Kryptik.AF trojan cleaned by deleting - quarantined

 

Le problème semble toujours présent :/

Modifié le 4 janvier 2010 par Moondarim

[pear]

Bonsoir,

 

3 minutes après CFScript !

 

91.212.226.180 c'est en Russie!

inetnum: 91.212.226.0 - 91.212.226.255

netname: NETD-LUX-NETWORK

descr: Artem Zhirkov

country: RU

org-name: Netdedicated Solutions

org-type: OTHER

address: Nizhniy Novgorod, 603009, Gornaya street, building 4

 

Si ce n'est pas volontaire ,c'est un détournement de DNS.

Désinfection:

Démarrer->Exécuter

Copier/coller

Cmd /k ipconfig /flushdns

valider par entree

 

Dans hijackthis cochez les lignes 017 puis clic sur fixchecked :

 

si cela marche pas refaire en mode sans echec

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Folder::

Driver::

File::

C:\Windows\system32\Drivers\bxxfof.sys

C:\Windows\system32\xxop81.dll

Fcopy::

Rootkit::

Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\npggsvc]

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

[Moondarim]

Bonsoir,

 

Voici le rapport de ComboFix:

ComboFix 10-01-03.05 - Choucri 04/01/2010 20:15:17.6.4 - x86

Microsoft® Windows Vista™ Édition Intégrale 6.0.6002.2.1252.33.1036.18.3326.2488 [GMT 1:00]

Lancé depuis: c:\users\Choucri\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\Choucri\Desktop\CFScript.txt

AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: ESET Personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

SP: ESET Smart Security 3.0 *disabled* (Updated) {E5E70D32-0101-4B98-A4D6-D1D15C3BB448}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

* Un antivirus résident est actif

 

 

FILE ::

"c:\windows\system32\Drivers\bxxfof.sys"

"c:\windows\system32\xxop81.dll"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\users\Choucri\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Enregistrement du produit.lnk

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-12-04 au 2010-01-04 ))))))))))))))))))))))))))))))))))))

.

 

2010-01-04 19:23 . 2010-01-04 19:25 -------- d-----w- c:\users\Choucri\AppData\Local\temp

2010-01-04 19:23 . 2010-01-04 19:23 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-01-04 19:23 . 2010-01-04 19:23 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-01-04 16:35 . 2010-01-04 16:35 -------- d-----w- c:\users\Choucri\AppData\Roaming\Logitech

2010-01-04 16:35 . 2010-01-04 16:35 -------- d-----w- c:\users\Choucri\AppData\Roaming\Leadertech

2010-01-04 16:34 . 2009-07-20 11:25 301656 ----a-w- c:\windows\system32\BtCoreIf.dll

2010-01-04 16:34 . 2009-07-20 11:26 84496 ----a-w- c:\windows\system32\KemXML.dll

2010-01-04 16:34 . 2009-07-20 11:26 117264 ----a-w- c:\windows\system32\KemWnd.dll

2010-01-04 16:34 . 2009-07-20 11:26 145936 ----a-w- c:\windows\system32\KemUtil.dll

2010-01-04 16:34 . 2009-07-20 11:26 170512 ----a-w- c:\windows\system32\kemutb.dll

2010-01-04 16:34 . 2010-01-04 16:34 -------- d-----w- c:\programdata\Logitech

2010-01-03 12:48 . 2010-01-03 12:48 -------- d-----w- c:\program files\BandiMPEG1

2010-01-03 12:22 . 2010-01-03 12:23 -------- d-----w- c:\programdata\Nexon

2010-01-02 16:10 . 2010-01-02 21:58 -------- d-----w- C:\UsbFix

2010-01-02 14:40 . 2010-01-02 14:41 -------- d-----w- C:\rsit

2010-01-02 12:50 . 2010-01-02 12:56 -------- d-----w- C:\Lop SD

2010-01-01 14:17 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-01 14:17 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-01-01 14:17 . 2010-01-01 14:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-01-01 14:01 . 2010-01-04 16:27 -------- d-----w- c:\program files\Sophos

2010-01-01 13:55 . 2010-01-01 13:55 -------- d-----w- c:\program files\WC3Banlist

2010-01-01 13:28 . 2010-01-01 13:42 -------- d-----w- c:\program files\KeyScrambler

2010-01-01 13:28 . 2009-10-04 21:33 115312 ----a-w- c:\windows\system32\drivers\keyscrambler.sys

2010-01-01 12:44 . 2010-01-01 12:45 -------- d-----w- c:\users\Choucri\{dc67bf30-3422-4244-aa2b-7160d0fe491a}

2010-01-01 12:23 . 2009-08-17 00:32 4223008 ----a-w- c:\windows\system32\NVStWiz.exe

2010-01-01 12:22 . 2009-11-19 20:42 592488 ----a-w- c:\windows\system32\nvuninst.exe

2009-12-31 17:05 . 2010-01-01 12:20 -------- d-----w- c:\program files\a-squared Free

2009-12-31 17:02 . 2009-12-31 17:02 -------- d-----w- c:\users\Choucri\AppData\Roaming\Malwarebytes

2009-12-31 17:02 . 2009-12-31 17:02 -------- d-----w- c:\programdata\Malwarebytes

2009-12-31 16:12 . 2010-01-01 11:14 -------- d-----w- c:\program files\trend micro

2009-12-29 08:13 . 2009-03-09 14:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll

2009-12-29 08:13 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll

2009-12-29 08:13 . 2009-03-09 14:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll

2009-12-29 08:13 . 2009-03-16 13:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll

2009-12-29 08:13 . 2009-03-16 13:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll

2009-12-29 08:13 . 2009-03-16 13:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll

2009-12-29 08:13 . 2009-03-16 13:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll

2009-12-29 08:13 . 2008-10-15 05:22 452440 ----a-w- c:\windows\system32\d3dx10_40.dll

2009-12-29 08:13 . 2008-10-15 05:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll

2009-12-29 08:13 . 2008-10-15 05:22 2036576 ----a-w- c:\windows\system32\D3DCompiler_40.dll

2009-12-28 09:52 . 2009-11-24 14:27 53616 ----a-w- c:\windows\system32\CMStarter_Eng.dll

2009-12-28 09:52 . 2009-11-24 14:27 53616 ----a-w- c:\windows\system32\CMStarter_Kor.dll

2009-12-28 09:52 . 2009-11-24 14:27 364912 ----a-w- c:\windows\system32\CMStarterCore.exe

2009-12-27 20:15 . 2009-12-27 20:15 -------- d-----w- C:\%APPDATA%

2009-12-27 19:21 . 2009-12-27 19:21 -------- dc----w- c:\programdata\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}

2009-12-27 18:23 . 2009-12-27 18:23 -------- d-----w- c:\users\Default\AppData\Local\Mozilla

2009-12-27 18:02 . 2009-12-27 18:34 680 ----a-w- c:\users\Default\AppData\Local\d3d9caps.dat

2009-12-27 15:24 . 2009-12-27 15:24 -------- d-sh--w- c:\windows\%APPDATA%

2009-12-27 09:13 . 2008-01-21 02:22 179200 ---h-tw- c:\windows\system32\f6205de.dll

2009-12-27 09:13 . 2008-01-21 02:22 179200 ---h-tw- c:\windows\system32\f23aa23.dll

2009-12-25 20:14 . 2010-01-03 12:46 -------- d-----w- C:\Nexon

2009-12-24 15:48 . 2009-12-24 15:48 -------- d-----w- c:\program files\Conduit

2009-12-19 14:48 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod178.dll

2009-12-11 12:04 . 2009-11-09 12:30 8192 ----a-w- c:\windows\system32\iisrstap.dll

2009-12-11 12:04 . 2009-11-09 10:48 14848 ----a-w- c:\windows\system32\iisreset.exe

2009-12-11 12:04 . 2009-11-09 12:31 24064 ----a-w- c:\windows\system32\nshhttp.dll

2009-12-11 12:04 . 2009-11-09 12:30 153600 ----a-w- c:\windows\system32\iisRtl.dll

2009-12-11 12:04 . 2009-11-09 12:28 27136 ----a-w- c:\windows\system32\ahadmin.dll

2009-12-11 12:04 . 2009-11-09 12:28 51712 ----a-w- c:\windows\system32\admwprox.dll

2009-12-11 12:04 . 2009-11-09 12:32 10752 ----a-w- c:\windows\system32\wamregps.dll

2009-12-11 12:04 . 2009-11-09 12:30 30720 ----a-w- c:\windows\system32\httpapi.dll

2009-12-11 12:04 . 2009-11-09 10:36 411648 ----a-w- c:\windows\system32\drivers\http.sys

2009-12-09 12:39 . 2009-12-09 13:01 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment

2009-12-08 22:27 . 2009-12-28 09:52 -------- d-----w- c:\program files\WEBZEN

2009-12-08 10:49 . 2009-12-08 10:49 9279 ----a-w- c:\windows\scunin.dat

2009-12-08 10:49 . 2009-12-08 10:49 967 ----a-w- c:\windows\ScUnin.pif

2009-12-08 10:49 . 2009-12-08 10:49 67584 ----a-w- c:\windows\ScUnin.exe

2009-12-08 10:48 . 2009-12-10 10:58 -------- d-----w- C:\Starcraft

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-04 19:25 . 2010-01-01 12:43 101480 ----a-w- c:\programdata\nvModes.dat

2010-01-04 18:52 . 2008-01-21 08:04 17600 ----a-w- c:\windows\system32\perfh00C.dat

2010-01-04 18:52 . 2008-01-21 08:04 154256 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-04 18:36 . 2008-11-06 18:50 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-01-04 18:36 . 2008-11-06 18:50 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2010-01-04 16:35 . 2008-05-17 18:04 -------- d-----w- c:\program files\Common Files\Logishrd

2010-01-04 16:35 . 2008-05-17 18:05 -------- d-----w- c:\programdata\LogiShrd

2010-01-04 16:35 . 2010-01-04 16:35 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf

2010-01-04 16:34 . 2008-05-17 16:17 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-01-04 16:34 . 2008-05-17 18:04 -------- d-----w- c:\program files\Logitech

2010-01-03 16:31 . 2009-11-15 07:57 -------- d-----w- c:\users\Choucri\AppData\Roaming\vlc

2010-01-03 15:50 . 2009-12-01 20:12 1 ----a-w- c:\users\Choucri\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-01-03 12:46 . 2010-01-03 12:46 770792 ----a-w- c:\programdata\Nexon\NGM\NGMDll.dll

2010-01-03 12:46 . 2010-01-03 12:46 475888 ----a-w- c:\programdata\Nexon\NGM\NGMResource.dll

2010-01-03 12:46 . 2010-01-03 12:46 307944 ----a-w- c:\programdata\Nexon\Common\nmcogame.dll

2010-01-03 12:46 . 2010-01-03 12:46 131808 ----a-w- c:\programdata\Nexon\NGM\nxgame.dll

2010-01-03 12:46 . 2010-01-03 12:46 103136 ----a-w- c:\programdata\Nexon\NGM\npNxGame.dll

2010-01-03 12:46 . 2010-01-03 12:46 176864 ----a-w- c:\programdata\Nexon\NGM\NGM.exe

2010-01-02 10:45 . 2008-05-17 16:12 105688 ----a-w- c:\users\Choucri\AppData\Local\GDIPFONTCACHEV1.DAT

2010-01-01 15:00 . 2009-08-21 17:13 -------- d-----w- c:\users\Choucri\AppData\Roaming\Winamp

2010-01-01 12:43 . 2009-05-12 20:44 -------- d-----w- c:\programdata\NVIDIA

2010-01-01 12:22 . 2008-05-17 16:12 2032 ----a-w- c:\users\Choucri\AppData\Local\d3d9caps.dat

2010-01-01 12:21 . 2009-06-10 08:33 -------- d-----w- c:\program files\NVIDIA Corporation

2009-12-31 15:44 . 2009-07-16 06:29 -------- d-----w- c:\program files\Pando Networks

2009-12-30 14:05 . 2008-12-11 14:42 -------- d-----w- c:\program files\Steam

2009-12-29 08:13 . 2009-11-01 11:40 -------- d-----w- c:\users\Choucri\AppData\Roaming\runic games

2009-12-27 14:34 . 2008-10-18 22:45 -------- d-----w- c:\program files\VuPassword

2009-12-27 14:30 . 2009-10-21 22:12 -------- d-----w- c:\program files\Common Files\BioWare

2009-12-24 13:35 . 2008-06-10 20:21 -------- d-----w- c:\users\Choucri\AppData\Roaming\uTorrent

2009-12-22 04:12 . 2009-12-22 04:12 1790688 ----a-w- c:\programdata\Nexon\Common\NMService.exe

2009-12-22 04:12 . 2009-12-22 04:12 1700584 ----a-w- c:\programdata\Nexon\Common\nmconew.dll

2009-12-17 15:16 . 2009-12-17 15:16 61789728 ----a-w- c:\users\Choucri\AppData\Roaming\Nokia\Ovi Suite\Software Updater\NokiaOviSuite2Installer.exe

2009-12-10 10:58 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2009-12-10 10:56 . 2008-07-31 08:58 -------- d-----w- c:\programdata\Microsoft Help

2009-12-09 18:36 . 2009-05-30 17:24 -------- d-----w- c:\users\Choucri\AppData\Roaming\Skype

2009-12-09 18:35 . 2009-05-30 17:26 -------- d-----w- c:\users\Choucri\AppData\Roaming\skypePM

2009-12-01 20:15 . 2009-06-02 21:15 -------- d-----w- c:\users\Choucri\AppData\Roaming\Orbit

2009-12-01 20:11 . 2009-12-01 20:11 -------- d-----w- c:\users\Choucri\AppData\Roaming\OpenOffice.org

2009-12-01 20:10 . 2009-12-01 20:10 -------- d-----w- c:\program files\OpenOffice.org 3

2009-11-30 19:33 . 2008-10-17 17:41 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2009-11-30 17:02 . 2009-11-30 17:02 171144 ----a-w- c:\windows\system32\xliveinstall.dll

2009-11-30 17:02 . 2009-11-30 17:02 72840 ----a-w- c:\windows\system32\xliveinstallhost.exe

2009-11-30 16:54 . 2009-11-30 16:54 12728 ----a-w- c:\windows\system32\JRSUKD25.SYS

2009-11-30 16:54 . 2009-11-30 16:54 124216 ----a-r- c:\windows\system32\CKAgent.exe

2009-11-30 16:54 . 2009-10-02 18:36 677176 ----a-w- c:\windows\system32\CKSetup32.exe

2009-11-21 06:40 . 2009-12-10 00:24 916480 ----a-w- c:\windows\system32\wininet.dll

2009-11-21 06:34 . 2009-12-10 00:24 71680 ----a-w- c:\windows\system32\iesetup.dll

2009-11-21 06:34 . 2009-12-10 00:24 109056 ----a-w- c:\windows\system32\iesysprep.dll

2009-11-21 04:59 . 2009-12-10 00:24 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2009-11-19 15:48 . 2008-12-11 14:42 -------- d-----w- c:\program files\Common Files\Steam

2009-11-19 15:38 . 2009-11-19 15:38 -------- d-----w- c:\program files\JoWooD

2009-11-18 00:26 . 2009-11-18 00:26 -------- d-----w- c:\program files\Windows Portable Devices

2009-11-18 00:26 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat

2009-11-18 00:26 . 2009-11-18 00:26 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf

2009-11-18 00:26 . 2009-11-18 00:26 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf

2009-11-17 23:01 . 2008-05-19 19:39 -------- d-----w- c:\program files\DivX

2009-11-13 20:16 . 2008-11-06 20:36 -------- d-----w- c:\users\Choucri\AppData\Roaming\Nokia

2009-11-13 16:16 . 2009-11-13 16:16 -------- d-----w- c:\program files\Neoact

2009-11-13 12:31 . 2009-11-01 11:39 -------- d-----w- c:\program files\Runic Games

2009-11-10 07:43 . 2008-11-07 22:12 -------- d-----w- c:\program files\Common Files\Nokia

2009-11-10 07:42 . 2008-11-06 20:09 -------- d-----w- c:\program files\Nokia

2009-11-10 07:42 . 2009-11-10 07:42 -------- d-----w- c:\program files\PC Connectivity Solution

2009-11-10 07:40 . 2009-11-10 07:40 0 ---ha-w- c:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf

2009-11-10 07:39 . 2009-11-10 07:39 12212040 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe

2009-11-10 07:39 . 2009-11-10 07:39 13930312 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe

2009-11-10 07:39 . 2009-11-10 07:39 77824 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\Run_XML6_SP1.exe

2009-11-10 07:39 . 2009-11-10 07:39 61440 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMF11Runx86.exe

2009-11-10 07:39 . 2009-11-10 07:39 58880 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\WMF11Runx64.exe

2009-11-10 07:39 . 2009-11-10 07:39 50000 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Installer\CommonCustomActions\pcswpc.exe

2009-11-10 07:39 . 2009-11-10 07:39 -------- d-----w- c:\programdata\OviInstallerCache

2009-11-10 07:39 . 2009-11-10 07:39 94628904 ----a-w- c:\programdata\OviInstallerCache\{82E16F2D-804A-4990-BEEF-C9DB44AE844B}\Nokia_Ovi_Suite_11_update.exe

2009-11-10 07:37 . 2008-11-06 20:10 -------- d-----w- c:\program files\DIFX

2009-11-10 07:28 . 2008-11-06 20:23 -------- d-----w- c:\programdata\Installations

2009-11-10 07:25 . 2009-11-10 07:25 36864 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe

2009-11-10 07:25 . 2009-11-10 07:25 3351812 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe

2009-11-10 07:25 . 2009-11-10 07:25 3203453 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe

2009-11-10 07:24 . 2009-11-10 07:26 24443520 ----a-w- c:\programdata\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_1.8.10FR.exe

2009-11-06 09:59 . 2009-11-06 09:59 15406728 ----a-w- c:\windows\system32\xlive.dll

2009-11-06 09:59 . 2009-11-06 09:59 13642888 ----a-w- c:\windows\system32\xlivefnt.dll

2009-11-05 06:46 . 2009-11-05 06:46 79144 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe

2009-11-05 06:45 . 2009-09-08 10:40 38208 ----a-w- c:\users\Choucri\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-05 06:45 . 2009-09-08 10:40 38208 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2009-11-02 19:42 . 2009-10-07 17:04 195456 ------w- c:\windows\system32\MpSigStub.exe

2009-11-01 11:25 . 2008-06-14 17:47 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-10-29 09:17 . 2009-11-28 07:17 2048 ----a-w- c:\windows\system32\tzres.dll

2009-10-27 08:44 . 2009-10-27 08:44 809496 ----a-r- c:\windows\system32\tmpCE69.tmp

2009-10-20 16:32 . 2009-10-20 16:32 123760 ---ha-w- c:\windows\system32\mlfcache.dat

2009-10-08 21:08 . 2009-11-17 05:19 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll

2009-10-08 21:08 . 2009-11-17 05:19 234496 ----a-w- c:\windows\system32\oleacc.dll

2009-10-08 21:07 . 2009-11-17 05:19 4096 ----a-w- c:\windows\system32\oleaccrc.dll

2009-10-08 18:07 . 2009-04-18 15:12 1203888 ----a-w- c:\users\Choucri\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe

2009-10-08 18:07 . 2009-10-08 18:07 155312 ----a-w- c:\users\Choucri\AppData\Roaming\GameRanger\GameRanger\Data\GameRanger.dll

2009-10-07 11:36 . 2009-12-10 00:24 243712 ----a-w- c:\windows\system32\rastls.dll

2008-11-27 14:31 . 2008-11-27 14:21 24 --sh--w- c:\windows\S5ED83BD8.tmp

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"WinampAgent"="e:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"SoundTray"="c:\program files\Analog Devices\SoundMAX\SoundTray.exe" [2007-08-02 53248]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-08-28 1282048]

"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-10-24 1451264]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-11-30 289584]

"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2009-10-27 401728]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"KeyScrambler"="c:\program files\KeyScrambler\getting_started.html" [X]

 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-1-4 813584]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"FilterAdministratorToken"= 1 (0x1)

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer4"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):11,08,a7,53,2d,52,ca,01

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2198041117-2445679867-2677068143-1000]

"EnableNotificationsRef"=dword:00000001

 

R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [21/12/2007 09:21 468224]

R3 KeyScrambler;KeyScrambler;c:\windows\System32\drivers\keyscrambler.sys [01/01/2010 14:28 115312]

R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\System32\drivers\libusb0.sys [11/07/2008 21:52 33792]

S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\System32\drivers\CM108.sys [18/02/2009 12:35 1307136]

S3 DAUpdaterSvc;Dragon Age: Origins - Application de mise à jour;c:\games\Dragon Age\bin_ship\daupdatersvc.service.exe [05/11/2009 07:40 25832]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [26/11/2008 12:10 23152]

S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:21 21504]

S3 JRSUKD24;JRSUKD24;c:\windows\System32\JRSUKD24.sys [28/10/2007 19:31 6784]

S3 netr28u;RT2870 USB Wireless LAN Card Driver for Vista;c:\windows\System32\drivers\netr28u.sys [17/05/2008 17:27 552448]

S3 npf;NetGroup Packet Filter Driver;c:\windows\System32\drivers\npf.sys [01/06/2008 08:13 34064]

S3 PS3 Media Server;PS3 Media Server;e:\program files\PS3 Media Server\win32\service\wrapper.exe [17/08/2008 09:40 217088]

S4 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]

S4 sptd;sptd;c:\windows\System32\drivers\sptd.sys [14/06/2008 18:47 691696]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

.

Contenu du dossier 'Tâches planifiées'

 

2010-01-04 c:\windows\Tasks\User_Feed_Synchronization-{0D0E0635-D129-4021-95AD-3F5136A6BA98}.job

- c:\windows\system32\msfeedssync.exe [2009-12-10 04:59]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://start.nexon.com

uInternet Settings,ProxyOverride = *.local

IE: Ajouter au fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir en Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien en Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien en un fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir la sélection en Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la sélection en un fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir les liens sélectionnés en fichier Adobe PDF - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convertir les liens sélectionnés en un fichier PDF existant - e:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

DPF: {4ABB12B3-8A8B-481D-874A-93E16F930A8B} - hxxps://members.hangame.com/common/CKKeyProInst.cab

DPF: {C044CD87-DFB0-4130-A5E4-49361106FBC8} - hxxp://id.hangame.com/common/HanSetup1020.cab

DPF: {D89D97A9-12C5-45E3-9353-3540761FE15C} - hxxp://channel.dontblynk.com/Launcher/SealWebLaunch.CAB

FF - ProfilePath - c:\users\Choucri\AppData\Roaming\Mozilla\Firefox\Profiles\fy08l4er.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

FF - component: c:\program files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\components\FirefoxExtension.dll

FF - component: c:\users\Choucri\AppData\Roaming\Mozilla\Firefox\Profiles\fy08l4er.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll

FF - component: c:\users\Choucri\AppData\Roaming\Mozilla\Firefox\Profiles\fy08l4er.default\extensions\keyscrambler@qfx.software.corporation\components\KeyScramblerIE.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\Download Manager\npfpdlm.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiautoinstallpluginff.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiFFPlugin1.dll

FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll

FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll

FF - plugin: c:\program files\WEBZEN\WebzenGameStarter\NPGameWebStarter.dll

FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\programdata\Nexon\NGM\npNxGame.dll

FF - plugin: e:\program files\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

FF - user.js: yahoo.homepage.dontask - true.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-04 20:25

Windows 6.0.6002 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0xC27D0618]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xc95c4d24

\Driver\ACPI -> acpi.sys @ 0xc8e9ad68

\Driver\atapi -> ataport.SYS @ 0xc8fa9a2c

IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\EverestDriver]

"ImagePath"="\??\c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\7953.tmp"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-2198041117-2445679867-2677068143-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AD066DBB-B434-304D-1171-81E591AC3A77}*]

"maeimlfjeehofienicfkjmembp"=hex:69,61,70,62,6b,64,68,70,6b,6f,6a,6f,6b,6e,67,

6e,62,65,00,6e

"nakhgmgodpdaaeoohdolpaombefk"=hex:6a,61,70,62,69,63,6e,69,64,62,69,69,68,70,

67,70,6c,62,63,6e,00,62

 

[HKEY_USERS\S-1-5-21-2198041117-2445679867-2677068143-1000\Software\SecuROM\License information*]

"datasecu"=hex:07,b3,55,66,60,bf,b5,d2,7a,e1,06,b3,c8,ca,98,a5,45,d1,42,79,75,

fd,0b,39,c4,ef,06,5c,eb,b5,79,39,9f,20,50,c6,73,e1,9d,17,8c,cc,2b,f9,bc,77,\

"rkeysecu"=hex:98,0a,59,29,6d,b2,24,bd,10,f2,31,73,9f,78,43,8b

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'Explorer.exe'(2996)

c:\program files\Logitech\SetPoint\lgscroll.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\nvvsvc.exe

c:\windows\system32\nvvsvc.exe

c:\program files\ASUS\AASP\1.00.59\aaCenter.exe

c:\windows\system32\conime.exe

c:\windows\system32\AEADISRV.EXE

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

e:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\WUDFHost.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2010-01-04 20:34:58 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-01-04 19:34

ComboFix2.txt 2010-01-04 15:57

ComboFix3.txt 2010-01-03 19:32

 

Avant-CF: 30 641 586 176 octets libres

Après-CF: 30 509 240 320 octets libres

 

- - End Of File - - 32D11809B13FA7CB5AFE126B3ACA0455

[Moondarim]

Bonjour,

 

Je passe rapidement pour vous indiquez que le problème est toujours là. De plus je remarque qu'à chaque intervention, mon antivirus détecte de nouvelle menace. Au moins grâce à vous j'ai découvert plus de menace que je ne l'aurai imaginé. Je pense qu'on tiens le bon bout mais c'est pas encore ça.

 

Voilà une portion de mon scan antivirus de ce matin:

Scan Log

Version of virus signature database: 4740 (20100103)

Date: 05/01/2010 Time: 11:18:17

Scanned disks, folders and files: C:\;E:\

 

 

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/modules/exploits/windows/browser/ie_createobject.rb - JS/TrojanDownloader.Psyme.NCX trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/modules/exploits/windows/browser/.svn/text-base/ie_createobject.rb.svn-base - JS/TrojanDownloader.Psyme.NCX trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/lib/rex/exploitation/heaplib.js.b64 - JS/TrojanDownloader.Agent.GJ trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/lib/rex/exploitation/.svn/text-base/heaplib.js.b64.svn-base - JS/TrojanDownloader.Agent.GJ trojan - was a part of the deleted object

 

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/external/source/shellcode/windows/msf2/win32_reverse_read.exe - Win32/Tiny.BN trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/external/source/shellcode/windows/msf2/win32_reverse_read_ipv6.exe - a variant of Win32/Tiny.BN trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/external/source/shellcode/windows/msf2/win32_stage_boot_bind_read.exe - probably a variant of Win32/Agent trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/external/source/shellcode/windows/msf2/win32_stage_boot_reverse_read.exe - a variant of Win32/Tiny.BN trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/external/source/shellcode/windows/msf2/.svn/text-base/win32_reverse_read.exe.svn-base - Win32/Tiny.BN trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/external/source/shellcode/windows/msf2/.svn/text-base/win32_reverse_read_ipv6.exe.svn-base - a variant of Win32/Tiny.BN trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/external/source/shellcode/windows/msf2/.svn/text-base/win32_stage_boot_bind_read.exe.svn-base - probably a variant of Win32/Agent trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » external/source/shellcode/windows/msf2/.svn/text-base/win32_stage_boot_reverse_read.exe.svn-base - a variant of Win32/Tiny.BN trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/data/templates/service.exe - a variant of Win32/Kryptik.ARD trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/data/templates/template.exe - Win32/Exploit.IMG-WMF.TG trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/data/templates/.svn/text-base/service.exe.svn-base - a variant of Win32/Kryptik.ARD trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/data/templates/.svn/text-base/template.exe.svn-base - Win32/Exploit.IMG-WMF.TG trojan - was a part of the deleted object

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/data/msfweb/vendor/rails/railties/lib/commands.rb » MIME - is OK (internal scanning not performed)

E:\Downloads\framework-3.2.exe » NSIS » msf32.tar » TAR » msf32/data/msfweb/vendor/rails/railties/lib/.svn/text-base/commands.rb.svn-base » MIME - is OK (internal scanning not performed)

E:\Downloads\WonderKing HackPack.zip » ZIP » WonderKing HackPack/H1tm@n's Injector.exe - probably a variant of Win32/Agent trojan - was a part of the deleted object

E:\Downloads\XBMC_for_Windows-9.04.1-repack.exe » NSIS » python24.zlib » ZIP » compiler/visitor.py » MIME - is OK (internal scanning not performed)

E:\Downloads\XBMC_for_Windows-9.04.1-repack.exe » NSIS » python24.zlib » ZIP » lib-old/whatsound.py » MIME - is OK (internal scanning not performed)

E:\Downloads\dl.free.fr\BoulDows ALLTEAM.iso » ISO » GO.EXE - probably a variant of Win32/Agent trojan - was a part of the deleted object

E:\Downloads\dl.free.fr\BoulDows ALLTEAM.iso » ISO » PSSHUTDOWN.EXE - Win32/RiskWare.PsShutdown.232 application - was a part of the deleted object

E:\WonderKing HackPack\H1tm@n's Injector.exe - probably a variant of Win32/Agent trojan - cleaned by deleting - quarantined [1]

 

Un petit coup de MBAM en examen rapide:

Malwarebytes' Anti-Malware 1.43

Version de la base de données: 3495

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18865

 

05/01/2010 14:42:05

mbam-log-2010-01-05 (14-42-05).txt

 

Type de recherche: Examen rapide

Eléments examinés: 102461

Temps écoulé: 4 minute(s), 11 second(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

C:\Windows\temp\fhqb.tmp\svchost.exe (Trojan.FakeAlert) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\registrymonitor1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Windows\System32\qtplugin.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Windows\temp\fhqb.tmp\svchost.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

J'ai complété par un examen complet à la vue du résultat précèdent.

 

Voici le résultat:

 

Malwarebytes' Anti-Malware 1.43

Version de la base de données: 3495

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18865

 

05/01/2010 16:16:21

mbam-log-2010-01-05 (16-16-21).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 471004

Temps écoulé: 1 hour(s), 26 minute(s), 8 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Modifié le 5 janvier 2010 par Moondarim

[pear]

J'ai compris!

 

Remarquez que les néfastes sont sur E:\Downloads.

Autant dire les fichiers crackés téléchargés .

Supprimez les et vous serez tranquille!

 

Relancez Mbam et faites une analyse complète de tout votre système , supports amovibles branchés.

Modifié le 5 janvier 2010 par pear

[Moondarim]

Bonsoir,

Malgré le nettoyage sur mon lecteur, j'ai toujours le même problème de fenêtre de pub qui apparait.

Modifié le 5 janvier 2010 par Moondarim

[pear]

Il y aurait peutêtre besoin d'un nettoyage de vos plugins:

 

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\Download Manager\npfpdlm.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiautoinstallpluginff.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npijjiFFPlugin1.dll

FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll

FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll

FF - plugin: c:\program files\WEBZEN\WebzenGameStarter\NPGameWebStarter.dll

FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\programdata\Nexon\NGM\npNxGame.dll

[Moondarim]

Ce sont des plugins que j'utilise il faut vraiment que je les désinstalle pour être tranquille?

 

J'ai remarqué avant l'ouverture d'une page de pub, y'a comme une redirection, j'arrive à lire le début de l'adresse qui commence par h..p://directdr...

Je me dit que peux être que je suis victime d'une redirection sur Google à chaque maintenant. Quand j'y repense, les seuls fois ou j'ai eux le problème c'était quand j'effectuais une recherche sur Google et que je cliquais sur le résultat. La fenêtre du site que je désirais s'ouvrait bien mais en plus de ça j'avais un second onglet qui chargeait le début d'adresse que j'ai inscrit ci-dessus pour finir ensuite sur un site de pub (casino, carte de voeux, browser game etc...).

Je vais observé encore un peu à quel moment précisément la fenêtre de pub s'ouvre et je vais essayé de prendre un screen de l'adresse qui charge la redirection.

Modifié le 5 janvier 2010 par Moondarim

[Moondarim]

Voilà le screenshot de l'adresse:

 

 

Mon atapi.sys apparait dans Gmer il n'a rien de suspect?

 

SystemLook v1.0 by jpshortstuff (29.08.09)

Log created at 23:20 on 05/01/2010 by Choucri (Administrator - Elevation successful)

 

========== filefind ==========

 

Searching for "atapi.sys"

C:\Windows\ERDNT\cache\atapi.sys --a--- 19944 bytes [21:09 27/12/2009] [06:32 11/04/2009] 1F05B78AB91C9075565A9D8A4B880BC4

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys --a--- 19944 bytes [06:46 20/10/2009] [06:32 11/04/2009] 1F05B78AB91C9075565A9D8A4B880BC4

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys --a--- 19048 bytes [10:25 02/11/2006] [09:49 02/11/2006] 4F4FCB8B6EA06784FB6D475B7EC7300F

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys --a--- 21560 bytes [02:21 21/01/2008] [02:21 21/01/2008] 2D9C903DC76A66813D350A562DE40ED9

C:\Windows\System32\drivers\atapi.sys --a--- 19944 bytes [06:46 20/10/2009] [06:32 11/04/2009] 1F05B78AB91C9075565A9D8A4B880BC4

C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys --a--- 21560 bytes [02:21 21/01/2008] [02:21 21/01/2008] 2D9C903DC76A66813D350A562DE40ED9

C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys --a--- 19944 bytes [06:46 20/10/2009] [06:32 11/04/2009] 1F05B78AB91C9075565A9D8A4B880BC4

 

-=End Of File=-

Modifié le 5 janvier 2010 par Moondarim