Kmasirumecahal.dll : je l'ai rencontré !!

[ibajo1]

Bonjour à tous les Zébuloniens, Zébuloniennes,

 

J'ai un problème avec un portable Acer TravelMate 1230, tournant sous XP SP2, 256mb de Ram et un Céléron 1500.

Ce Pc redémarrait en boucle, demandait un chkdsk, et son propriétaire ne connaissait plus le password de sa session.

Il demandait un Chkdsk parce que des fichiers étaient manquants ou abimés etc... impossible de l'exécuter.

 

De plus, sa partition C était remplie comme un oeuf. Il est partitionné en C (Acer) pour 8 Gigas, en D (data Acer) pour 13 et le reste, E (archivage) pour 14.

 

Impossible de désinstaller Avast, d'installer Mbam, ni Antivir.

Et aucune icône à côté de l'horloge.

Hjt : il n'en voulait pas non plus.

 

Je sais que ce n'est pas bien mais j'ai lancé Combofix rebaptisé qui a annoncé un rootkit et son besoin de redémarrer le système.

J'étais content, les icônes étaient là, je pouvais enfin sortir du mode sans échec et effectuer mon chkdsk qui a beaucoup travaillé et n'avait pas assez de place sur la partition C...

Enfin, je n'ai plus de message de fichiers abimés ou manquants.

 

Mais des crasses, il en reste.

 

Si j'ai pu désinstaller avast avec son désinstalleur spécifique, pas moyen d'installer Mbam ni Antivir, ni de faire tourner HJT.

J'ai installé IE8 et fait la mise à jour Java.

Il a accepté par contre Rsit et ZhpDiag.

 

Il a encore de l'emprise sur IE8.

 

Ainsi, sur le site Zebulon, si je clique sur Forum, il veut bien, sur Google infecté, il veut bien, mais si je clique sur analyse rapport Hijackthis, Eradication Malware, il ferme le navigateur.

Si je tape antivir, virus etc, même chose : mon navigateur se ferme.

Bref il semble allergique tout ce qui peut le contrer.

 

Voici le rapport de Combofix :

 

ComboFix 10-03-28.01 - will 29/03/2010 6:16.1.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.238.83 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur.ACER-86ABAAF10A\Bureau\will.exe

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\docume~1\will\LOCALS~1\Temp\init.exe

c:\docume~1\will\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\OLMROPUV\q1235420837_2248[1].jpg

c:\documents and settings\will\Local Settings\Temp\init.exe

c:\documents and settings\will\Local Settings\Temp\Temporary Internet Files\Content.IE5\OLMROPUV\q1235420837_2248[1].jpg

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013

c:\windows\admintxt.txt

c:\windows\Kmasirumecahal.dll

c:\windows\service.exe

c:\windows\system32\667162.exe

c:\windows\system32\chert7-303362.exe

c:\windows\system32\crypts.dll

c:\windows\system32\drivers\seneka.sys

c:\windows\system32\drivers\senekawyspqxot.sys

c:\windows\system32\senekafmnexrqr.dat

c:\windows\system32\senekaiwqbuxti.dat

c:\windows\system32\senekatafuymbp.dll

c:\windows\system32\senekawwowfoof.dll

c:\windows\system32\vuMEr.dll

c:\windows\Uninstall.ini

E:\Autorun.inf

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_seneka

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-28 au 2010-03-29 ))))))))))))))))))))))))))))))))))))

.

 

2010-03-29 04:15 . 2010-03-29 04:15 -------- d-----w- c:\program files\microsoft frontpage

2010-03-29 03:52 . 2010-03-29 03:52 -------- d-----w- c:\documents and settings\Administrateur.ACER-86ABAAF10A\Application Data\DivX

2010-03-29 02:20 . 2010-03-29 02:20 -------- d-----w- c:\documents and settings\TEMP.ACER-86ABAAF10A.001

2010-03-29 01:15 . 2010-03-29 01:15 -------- d-----w- c:\program files\ElcomSoft

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-29 04:21 . 2004-09-20 09:34 12 ----a-w- c:\windows\bthservsdp.dat

2010-03-29 02:36 . 2010-03-29 02:36 312847 ------w- c:\windows\system32\53df4eec8b67a7eb1b7639fd94e2c5fd.TMP

2010-03-29 02:36 . 2010-03-29 02:36 312847 ------w- c:\windows\system32\3d924dd105a532b2b611c88a38f8c6c2.TMP

2010-03-27 17:07 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP698b.tmp

2010-03-27 17:04 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP69f9.tmp

2010-03-27 17:00 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP694f.tmp

2010-03-27 16:56 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP6927.tmp

2010-03-27 16:53 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP6958.tmp

2010-03-27 16:49 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP698a.tmp

2010-03-27 16:45 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP68fe.tmp

2010-03-27 16:42 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP69c6.tmp

2010-03-27 16:38 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP6947.tmp

2010-03-27 16:35 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP699e.tmp

2010-03-27 16:31 . 2007-12-03 15:22 90112 ----a-w- c:\windows\DUMP6980.tmp

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-12 68856]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 98304]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 532480]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 110592]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]

"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-02-10 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-02-10 118784]

"EPM-DM"="c:\acer\epm\epm-dm.exe" [2004-07-14 151552]

"ePowerManagement"="c:\acer\ePM\ePM.exe" [2004-09-01 2876416]

"LManager"="c:\program files\Launch Manager\QtZgAcer.EXE" [2004-07-30 319488]

"YeppStudioAgent"="c:\program files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe" [2005-09-12 40960]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"Agent"="d:\vcr ii\Agent.exe" [2002-10-01 94208]

"Remote_Agent"="d:\vcr ii\RemoteAgent.exe" [2004-07-26 40960]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Sitecom Wireless Utility.lnk - c:\program files\Sitecom\Common\WLANUtil.exe [2008-8-21 679936]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fdbbcebe]

2007-04-18 00:05 312847 ------w- c:\windows\system32\fdbbcebe.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"d:\\warcraft\\Warcraft III\\Warcraft III.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft;c:\windows\system32\drivers\smbhc.sys [20/09/2004 11:11 6784]

R3 SMBBATT;Pilote de batterie intelligente Microsoft;c:\windows\system32\drivers\smbbatt.sys [20/09/2004 11:12 16128]

S0 376e359ebd78aca00d78d222139af1b6;376e359ebd78aca00d78d222139af1b6;c:\windows\system32\376e359ebd78aca00d78d222139af1b6.sys [5/01/2009 20:08 39936]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [10/05/2008 18:41 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [10/05/2008 18:42 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [10/05/2008 18:42 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [10/05/2008 18:42 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [10/05/2008 18:42 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [10/05/2008 18:42 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [10/05/2008 18:42 97704]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - HTTPFILTER

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 13:42]

.

.

------- Examen supplémentaire -------

.

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-QuickTime Task - c:\program files\QuickTime\qttask.exe

HKLM-Run-windsvc - shelle32.exe

HKLM-Run-Hsekihumevixi - c:\windows\Kmasirumecahal.dll

ActiveSetup-{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} - c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\windowsupdate.com

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-29 06:25

Windows 5.1.2600 Service Pack 2 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(620)

c:\windows\system32\fdbbcebe.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\acer\eManager\anbmServ.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

c:\program files\Fichiers communs\Teleca Shared\Generic.exe

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

c:\program files\Java\jre1.6.0_06\bin\jucheck.exe

.

**************************************************************************

.

Heure de fin: 2010-03-29 06:29:56 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-03-29 04:29

 

Avant-CF: 110.862.336 octets libres

Après-CF: 531.263.488 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

- - End Of File - - 99914F0AB21460B1016D8455283F1A87

 

 

le fichier info de Rsit :

 

 

info.txt logfile of random's system information tool 1.06 2010-03-29 10:24:57

 

======Uninstall list======

 

-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\Acer Inc.\Acer French Guide Link\Uninst.isu"

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

Acer eManager for Notebook-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{827289F5-B44F-4E49-9993-840741585A62}

Acer ePowerManagement-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58E5844B-7CE2-413D-83D1-99294BF6C74F}\Setup.exe" -l0x40c

Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe

Apple Software Update-->MsiExec.exe /I{A260B422-70E1-41E2-957D-F76FA21266D5}

Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}

Conexant AC-Link Audio-->CIAunwdm.exe

Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"

Correctif Windows XP - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe

Correctif Windows XP - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe

Correctif Windows XP - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe

Correctif Windows XP - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe

Correctif Windows XP - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe

Correctif Windows XP - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"

Correctif Windows XP - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe

Disc2Phone-->MsiExec.exe /X{1C75E8E0-29D5-4298-AE16-B8604FD9DDE4}

Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E85CDE7661A53A6A.exe" /uninstall

Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}

Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

Intel® Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_3582

Java 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF}

Launch Manager-->C:\WINDOWS\UnInst32.exe QtZgAcer.UNI

Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe

Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB901190)-->"C:\WINDOWS\$NtUninstallKB901190$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"

MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}

PowerDVD-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall

PowerVCR II-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0BA5720-E189-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall

QuickTime-->MsiExec.exe /I{5E863175-E85D-44A6-8968-82507D34AE7F}

Revo Uninstaller 1.85-->C:\Program Files\VS Revo Group\Revo Uninstaller\uninst.exe

Sitecom Wireless-N Network USB Adapter WL-182-->C:\Program Files\InstallShield Installation Information\{58092A9A-995E-4BCE-863B-5B039896FA0C}\setup.exe -runfromtemp -l0x0009 -removeonly

SoftV92 Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_8086&DEV_24C6&SUBSYS_00641025\HXFSETUP.EXE -U -Iqta00645.inf

Sony Ericsson Device Data-->MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4}

Sony Ericsson Drivers-->MsiExec.exe /I{C60BA916-9E44-4DA4-B11A-9E27B7624EF5}

Sony Ericsson PC Suite-->C:\WINDOWS\Installer\{D6BF6477-8369-489F-8DE6-3731F4B88560}\setup.exe /uninstall

Sony Ericsson PC Suite-->MsiExec.exe /I{D59AC9E9-FFAE-471B-B1FF-4B311D23417A}

Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall

Texas Instruments PCIxx21/x515 drivers.-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{23C7348E-131C-4BFF-9763-2C804D6B87AE}

Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"

Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"

Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}

ZHPDiag 1.25-->"C:\Program Files\ZHPDiag\unins000.exe"

 

======System event log======

 

Computer Name: ACER-86ABAAF10A

Event Code: 26

Message: Application popup : PEV.cfxxe - Fichier endommagé : Le fichier ou le répertoire \Documents and Settings\WILL\Local Settings\Temp\Temporary Internet Files\Content.IE5\OLMROPUV\safe_image[2].jpg est endommagé et illisible. Exécutez l'utilitaire CHKDSK.

 

Record Number: 11607

Source Name: Application Popup

Time Written: 20100329062029.000000+120

Event Type: Informations

User:

 

Computer Name: ACER-86ABAAF10A

Event Code: 26

Message: Application popup : PEV.cfxxe - Fichier endommagé : Le fichier ou le répertoire \Documents and Settings\WILL\Local Settings\Temp\Temporary Internet Files\Content.IE5\OLMROPUV\q1116205269_9711[1].jpg est endommagé et illisible. Exécutez l'utilitaire CHKDSK.

 

Record Number: 11606

Source Name: Application Popup

Time Written: 20100329062029.000000+120

Event Type: Informations

User:

 

Computer Name: ACER-86ABAAF10A

Event Code: 26

Message: Application popup : PEV.cfxxe - Fichier endommagé : Le fichier ou le répertoire \Documents and Settings\WILL\Local Settings\Temp\Temporary Internet Files\Content.IE5\OLMROPUV\728x90fr[1].swf est endommagé et illisible. Exécutez l'utilitaire CHKDSK.

 

Record Number: 11605

Source Name: Application Popup

Time Written: 20100329062029.000000+120

Event Type: Informations

User:

 

Computer Name: ACER-86ABAAF10A

Event Code: 26

Message: Application popup : PEV.cfxxe - Fichier endommagé : Le fichier ou le répertoire \Documents and Settings\WILL\Local Settings\Temp\Temporary Internet Files\Content.IE5\OLMROPUV\q820544381_715[1].jpg est endommagé et illisible. Exécutez l'utilitaire CHKDSK.

 

Record Number: 11604

Source Name: Application Popup

Time Written: 20100329062029.000000+120

Event Type: Informations

User:

 

Computer Name: ACER-86ABAAF10A

Event Code: 26

Message: Application popup : PEV.cfxxe - Fichier endommagé : Le fichier ou le répertoire \Documents and Settings\WILL\Local Settings\Temp\Temporary Internet Files\Content.IE5\OLMROPUV\300[1].jpg est endommagé et illisible. Exécutez l'utilitaire CHKDSK.

 

Record Number: 11603

Source Name: Application Popup

Time Written: 20100329062029.000000+120

Event Type: Informations

User:

 

=====Application event log=====

 

Computer Name: ACER-86ABAAF10A

Event Code: 1508

Message: Windows ne peut pas charger le Registre. Il s'agit souvent d'une mémoire insuffisante ou de droits d'accès insuffisants.

 

 

Détail - Le système n'a pas pu allouer l'espace demandé dans un journal du Registre. pour C:\Documents and Settings\will\ntuser.dat.

 

Record Number: 890

Source Name: Userenv

Time Written: 20090312102803.000000+060

Event Type: erreur

User: AUTORITE NT\SYSTEM

 

Computer Name: ACER-86ABAAF10A

Event Code: 32077

Message: Échec de création du fichier du journal d'activité. Nom de fichier : 'C:\Documents and Settings\All Users\Application Data\Microsoft\Windows NT\MSFax\ActivityLog\schema.ini'.

Le fichier d'informations fourni au 'Pilote texte Microsoft' ODBC des informations sur le format général du fichier DB,

le nom de colonne, type de données et un certain nombre d'autres données caractéristiques.

Vérifiez que le journal d'enregistrement existe et qu'il est accessible en écriture, vérifiez qu'il n'est pas utilisé par d'autres applications.

L'erreur suivante s'est produite : 1392.

Ce code d'erreur indique la cause de l'erreur.

 

Record Number: 889

Source Name: Microsoft Fax

Time Written: 20090312102752.000000+060

Event Type: Avertissement

User:

 

Computer Name: ACER-86ABAAF10A

Event Code: 32077

Message: Échec de création du fichier du journal d'activité. Nom de fichier : 'C:\Documents and Settings\All Users\Application Data\Microsoft\Windows NT\MSFax\ActivityLog\schema.ini'.

Le fichier d'informations fourni au 'Pilote texte Microsoft' ODBC des informations sur le format général du fichier DB,

le nom de colonne, type de données et un certain nombre d'autres données caractéristiques.

Vérifiez que le journal d'enregistrement existe et qu'il est accessible en écriture, vérifiez qu'il n'est pas utilisé par d'autres applications.

L'erreur suivante s'est produite : 1392.

Ce code d'erreur indique la cause de l'erreur.

 

Record Number: 888

Source Name: Microsoft Fax

Time Written: 20090309193822.000000+060

Event Type: Avertissement

User:

 

Computer Name: ACER-86ABAAF10A

Event Code: 1002

Message: L'environnement s'est arrêté de façon inattendue et Explorer.exe a redémarré.

 

Record Number: 887

Source Name: Winlogon

Time Written: 20090307152439.000000+060

Event Type: Informations

User:

 

Computer Name: ACER-86ABAAF10A

Event Code: 1000

Message: Application défaillante explorer.exe, version 6.0.2900.3156, module défaillant unknown, version 0.0.0.0, adresse de défaillance 0x719f664d.

 

Record Number: 886

Source Name: Application Error

Time Written: 20090307152357.000000+060

Event Type: erreur

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\PROGRAM FILES\FICHIERS COMMUNS\TELECA SHARED;C:\PROGRAM FILES\QUICKTIME\QTSYSTEM

"windir"=%SystemRoot%

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"PROCESSOR_ARCHITECTURE"=x86

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel

"PROCESSOR_REVISION"=0905

"NUMBER_OF_PROCESSORS"=1

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip

"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

 

-----------------EOF-----------------

 

 

 

 

 

 

et son log :

 

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by will at 2010-03-29 10:24:53

Microsoft Windows XP Édition familiale Service Pack 2

System drive C: has 818 MB (10%) free of 8 GB

Total RAM: 238 MB (37% free)

 

HijackThis download failed

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

SSVHelper Class - C:\Program Files\Java\jre6\bin\ssv.dll [2010-03-29 321312]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-03-29 279664]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-03-29 812528]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-03-29 41760]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-03-29 73728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-03-29 279664]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"=Alaunch []

"SynTPLpr"=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe [2004-05-20 98304]

"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2004-05-20 532480]

"RemoteControl"=C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2003-10-21 40960]

"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []

"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-05 208952]

"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2004-08-05 59392]

"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-05 455168]

"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-05 455168]

"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2004-02-11 155648]

"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2004-02-11 118784]

"EPM-DM"=c:\acer\epm\epm-dm.exe [2004-07-14 151552]

"ePowerManagement"=C:\Acer\ePM\ePM.exe [2004-09-01 2876416]

"LManager"=C:\Program Files\Launch Manager\QtZgAcer.EXE [2004-07-30 319488]

"YeppStudioAgent"=C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe [2005-09-12 40960]

"Sony Ericsson PC Suite"=C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [2007-06-13 528384]

"Agent"=D:\VCR II\Agent.exe [2002-10-01 94208]

"Remote_Agent"=D:\VCR II\RemoteAgent.exe [2004-07-26 40960]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2010-03-29 149280]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-12-12 68856]

"MsnMsgr"=C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-05 15360]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

Sitecom Wireless Utility.lnk - C:\Program Files\Sitecom\Common\WLANUtil.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fdbbcebe]

C:\WINDOWS\system32\fdbbcebe.dll [2007-04-18 312847]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

C:\WINDOWS\system32\igfxsrvc.dll [2004-02-11 339968]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-05 240128]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=255

"WizmaxBackup_NoDriveTypeAutoRun"=145

"NoDriveAutoRun"=67108863

"NoDrives"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=

"WizmaxBackup_NoDriveTypeAutoRun"=

"HonorAutoRunSetting"=

"NoDriveAutoRun"=

"NoDrives"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

"D:\warcraft\Warcraft III\Warcraft III.exe"="D:\warcraft\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{030f8db0-3acf-11df-a67e-c5d8533addbf}]

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\m.exe /s

 

 

======List of files/folders created in the last 1 months======

 

2010-03-29 10:24:54 ----D---- C:\Program Files\trend micro

2010-03-29 10:24:53 ----D---- C:\rsit

2010-03-29 09:50:02 ----D---- C:\Program Files\ZHPDiag

2010-03-29 08:29:03 ----HD---- C:\WINDOWS\msdownld.tmp

2010-03-29 08:28:30 ----D---- C:\WINDOWS\WBEM

2010-03-29 08:26:27 ----HD---- C:\WINDOWS\ie8

2010-03-29 08:26:27 ----D---- C:\WINDOWS\system32\fr-FR

2010-03-29 08:13:58 ----SHD---- C:\Recycled

2010-03-29 07:15:46 ----D---- C:\Program Files\VS Revo Group

2010-03-29 06:35:00 ----D---- C:\WINDOWS\system32\LogFiles

2010-03-29 06:34:30 ----A---- C:\WINDOWS\system32\javaws.exe

2010-03-29 06:34:30 ----A---- C:\WINDOWS\system32\javaw.exe

2010-03-29 06:34:30 ----A---- C:\WINDOWS\system32\java.exe

2010-03-29 06:34:30 ----A---- C:\WINDOWS\system32\deploytk.dll

2010-03-29 06:30:04 ----D---- C:\WINDOWS\temp

2010-03-29 06:15:09 ----D---- C:\Program Files\microsoft frontpage

2010-03-29 06:10:37 ----A---- C:\Boot.bak

2010-03-29 06:10:34 ----RASHD---- C:\cmdcons

2010-03-29 06:09:27 ----A---- C:\WINDOWS\zip.exe

2010-03-29 06:09:27 ----A---- C:\WINDOWS\SWREG.exe

2010-03-29 06:09:27 ----A---- C:\WINDOWS\sed.exe

2010-03-29 06:09:27 ----A---- C:\WINDOWS\PEV.exe

2010-03-29 06:09:27 ----A---- C:\WINDOWS\NIRCMD.exe

2010-03-29 06:09:27 ----A---- C:\WINDOWS\MBR.exe

2010-03-29 06:09:27 ----A---- C:\WINDOWS\grep.exe

2010-03-29 06:09:26 ----A---- C:\WINDOWS\SWXCACLS.exe

2010-03-29 06:09:26 ----A---- C:\WINDOWS\SWSC.exe

2010-03-29 06:09:23 ----D---- C:\WINDOWS\ERDNT

2010-03-29 06:09:13 ----AD---- C:\Qoobox

2010-03-29 05:53:07 ----A---- C:\WINDOWS\system32\MRT.exe

2010-03-29 04:36:17 ----N---- C:\WINDOWS\system32\53df4eec8b67a7eb1b7639fd94e2c5fd.TMP

2010-03-29 04:36:16 ----N---- C:\WINDOWS\system32\3d924dd105a532b2b611c88a38f8c6c2.TMP

2010-03-29 03:15:45 ----A---- C:\WINDOWS\Awpr.ini

2010-03-28 19:12:27 ----A---- C:\WINDOWS\ntbtlog.txt

 

======List of files/folders modified in the last 1 months======

 

2010-03-29 09:32:04 ----A---- C:\WINDOWS\ModemLog_SoftV92 Data Fax Modem with SmartCP.txt

2010-03-29 09:10:18 ----A---- C:\WINDOWS\SchedLgU.Txt

2010-03-29 08:10:08 ----A---- C:\WINDOWS\system.ini

2010-03-29 06:10:38 ----RASH---- C:\boot.ini

2010-03-27 19:01:38 ----A---- C:\WINDOWS\DUMP693a.tmp

2010-03-27 19:00:26 ----A---- C:\WINDOWS\DUMP694f.tmp

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-05 40320]

R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft; C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 6784]

R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.5.3.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2008-08-21 21419]

R2 EpmPsd;Acer EPM Power Scheme Driver; \??\C:\WINDOWS\system32\drivers\epm-psd.sys []

R2 EpmShd;Acer EPM System Hardware Driver; \??\C:\WINDOWS\system32\drivers\epm-shd.sys []

R2 irda;Protocole IrDA; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-03 87424]

R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2003-04-10 11043]

R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys [2003-09-27 44032]

R3 CAMCAUD;Conexant AMC Audio; C:\WINDOWS\system32\drivers\camcaud.sys [2004-04-30 292352]

R3 CAMCHALA;CAMCHALA; C:\WINDOWS\system32\drivers\camchal.sys [2004-04-30 274688]

R3 DKbFltr;Dritek HotKey Keyboard Filter Driver; C:\WINDOWS\System32\Drivers\DKbFltr.sys [2002-11-20 17983]

R3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSF_DP.sys [2004-03-11 1041536]

R3 HSFHWICH;HSFHWICH; C:\WINDOWS\system32\DRIVERS\HSFHWICH.sys [2004-03-11 199552]

R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2004-02-11 681469]

R3 NTIDrvr;Upper Class Filter Driver; C:\WINDOWS\system32\DRIVERS\NTIDrvr.sys [2004-09-20 6912]

R3 Rasirda;Miniport réseau étendu (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]

R3 SMBBATT;Pilote de batterie intelligente Microsoft; C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2004-08-03 16128]

R3 SynTP;Synaptics TouchPad Driver; C:\WINDOWS\system32\DRIVERS\SynTP.sys [2004-05-20 184768]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-05 26624]

R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-05 57600]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-05 20480]

R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2004-03-11 682624]

S3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-05 60800]

S3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2004-05-15 745984]

S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2003-05-23 175360]

S3 BthEnum;Pilote de bloc de demande Bluetooth; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2004-08-05 17024]

S3 BthPan;Périphérique Bluetooth (réseau personnel); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2004-08-05 100992]

S3 BTHPORT;Pilote de port Bluetooth; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 272768]

S3 BTHUSB;Pilote USB radio Bluetooth; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-05 18944]

S3 catchme;catchme; \??\C:\DOCUME~1\will\LOCALS~1\Temp\catchme.sys []

S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]

S3 DCamUSBEMPIA;Hercules Smart TV USB2; C:\WINDOWS\system32\DRIVERS\emDevice.sys [2004-03-23 100925]

S3 FiltUSBEMPIA;USB Device Lower Filter; C:\WINDOWS\system32\DRIVERS\emFilter.sys [2004-08-05 19200]

S3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2004-08-05 9600]

S3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]

S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]

S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]

S3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-05 61824]

S3 NSCIRDA;Pilote de périphérique infrarouge NSC; C:\WINDOWS\system32\DRIVERS\nscirda.sys [2004-08-03 28672]

S3 RFCOMM;Périphérique Bluetooth (TDI protocole RFCOMM); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2004-08-05 59648]

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver; C:\WINDOWS\system32\DRIVERS\rt2870.sys [2007-04-25 485248]

S3 s816bus;Sony Ericsson Device 816 driver (WDM); C:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS); C:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM); C:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 97704]

S3 ScanUSBEMPIA;USB Still Image Capture Device; C:\WINDOWS\system32\DRIVERS\emScan.sys [2004-03-23 4493]

S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-05 11136]

S3 StMp3Rec;Pilote de périphérique de la restauration de lecteur; C:\WINDOWS\System32\Drivers\StMp3Rec.sys [2005-08-26 68230]

S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-05 15360]

S3 tifm21;tifm21; C:\WINDOWS\system32\drivers\tifm21.sys [2004-05-26 67584]

S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 26496]

S3 w29n51;Pilote de carte de connexion réseau Intel® PRO/Wireless 2915ABG pour Windows XP; C:\WINDOWS\system32\DRIVERS\w29n51.sys [2004-08-20 3210496]

S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]

S4 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-05 12032]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 anbmService;Notebook Manager Service; C:\Acer\eManager\anbmServ.exe [2004-08-16 1287168]

R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]

R2 Irmon;Moniteur infrarouge; C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2010-03-29 153376]

S2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2004-05-15 376832]

S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2004-08-05 268800]

S2 gupdate;Service Google Update (gupdate); C:\Program Files\Google\Update\GoogleUpdate.exe [2010-03-29 135664]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]

S3 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-03-29 182768]

S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]

 

-----------------EOF-----------------

 

 

Voilà, ma clé usb commence à chauffer à force de faire des aller retours entre Pc et je voudrais pas infecter ma machine.

 

J'espère pouvoir compter sur vos avis éclairés pour désinfecter ce Pc.

 

Merci d'avance.

[pear]

Bonjour,

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

c:\windows\system32\fdbbcebe.dll

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

 

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

 

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

[/color]

 

 

Télécharger Usb Fix de C_XX & Chiquitine29, sur le bureau

 

Installez le.

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

TéléchargerOpen-Config de Lopp Blanc

Si vous êtes sous Vista et 7, si l'UAC est activé il faut le lancer en mode "Administrateur".

 

en vert c'est bon, en rouge on peut déverrouiller.

Un clic sur le bouton "Déverrouiller la configuration" va permettre de corriger tous les points en rouge,

 

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

 

Lancer l'installation avec les paramètres par défault

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

 

 

 

 

 

 

 

Téléchargez TFC par OldTimer sur votre Bureau

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

 

Java n'est pas à jour,donc vulnérable.

Téléchargez Javara

ou là:

Javara

clic sur Download Windows binary.zip vers le bureau.

Dézippez.

lancez Javara.exe

clic sur mise à jour via jucheck

clic sur installer

 

Revenez dans JavaRa

 

Cliquez Effacer les anciennes versions

Puis..... Autres Options ->Cocher Effacer les fichiers JRE Inutiles ->Exécuter

 

 

 

PROCESSUS INUTILE (Au démarrage du système)

"RemoteControl"=C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2003-10-21 40960]

"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2004-08-05 208952]

"MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [2004-08-05 59392]

"PHIME2002ASync"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-05 455168]

"PHIME2002A"=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE [2004-08-05 455168]

"Remote_Agent"=D:\VCR II\RemoteAgent.exe [2004-07-26 40960]

"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2008-12-12 68856]

"MsnMsgr"=C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

Modifié le 29 mars 2010 par pear

[ibajo1]

Bonsoir Pear,

 

Merci de vous préoccuper de mon cas.

Je vais essayer d'être le plus précis possible dans mon travail et mes commentaires.

 

1er travail :

 

Soumettre C:\windows\system32\fdbbcebe chez Virustotal.

A mon grand étonnement, il n'a pas fermé le navigateur.

L problème c'est que quand j'envoie mon fichier (plusieurs essais) il me répond :

"0 bytes size received / Se ha recibido un archivo vacio" alors que mon curseur me dit qu'il vaut 305k.

 

2ème travail :

 

J'ai désactivé l'autorun par fusion de regis.reg avec le bureau.

 

3ème travail :

 

J'ai effectué les différents téléchargements.

J'ai déverrouillé la configuration avec open-config.

 

4ème travail :

 

J'ai effectué la tâche 1 de UsbFix

J'ai malheureusement oublié de sauver mon rapport qui a été écrasé par celui du travail nr 2.

Je ferai plus attention pour le futur.

 

J'ai effectué le travail nr 2 de UsbFix.

Voici le rapport :

 

 

############################## | UsbFix V6.100 |

 

User : will (Administrateurs) # ACER-86ABAAF10A

Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8

Start at: 22:56:41 | 30/03/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Celeron® M processor 1500MHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 7,8 Go (356,2 Mo free) [ACER] # FAT32

D:\ -> Disque fixe local # 12,69 Go (10,1 Go free) [ACERDATA] # FAT32

E:\ -> Disque fixe local # 13,8 Go (10,3 Go free) [ARCHIVAGE] # FAT32

F:\ -> Disque CD-ROM

G:\ -> Disque amovible # 7,45 Go (3,87 Go free) [KINGSTON] # FAT32

 

################## | Elements infectieux |

 

Supprimé ! C:\WINDOWS\antiv.exe

Supprimé ! G:\autorun.inf

Supprimé ! G:\log.txt

Supprimé ! G:\m.exe

 

################## | Registre |

 

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

 

################## | Mountpoints2 |

 

 

################## | Listing des fichiers présent |

 

[20/09/2004 10:58|-rahs----|68] C:\PRELOAD.AAA

[?|?|?] C:\hiberfil.sys

[11/11/1999 00:17|--a------|49] C:\XPH.TAG

[20/09/2004 11:01|---hs----|512] C:\BOOTSECT.DOS

[05/08/2004 05:00|-rahs----|4952] C:\Bootfont.bin

[05/08/2004 05:00|-rahs----|251712] C:\ntldr

[05/08/2004 05:00|-rahs----|47564] C:\NTDETECT.COM

[29/03/2010 06:10|-rahs----|286] C:\boot.ini

[20/09/2004 11:17|--a------|0] C:\CONFIG.SYS

[20/09/2004 11:17|--a------|0] C:\AUTOEXEC.BAT

[20/09/2004 11:17|-rahs----|0] C:\IO.SYS

[20/09/2004 11:17|-rahs----|0] C:\MSDOS.SYS

[?|?|?] C:\pagefile.sys

[30/05/2008 16:09|--a------|84] C:\Scans.dat

[05/01/2009 19:56|--a------|84480] C:\xqgtel.exe

[03/08/2004 23:00|--a------|263488] C:\cmldr

[03/12/2007 17:28|--a------|216] C:\Boot.bak

[30/03/2010 19:45|--a------|187] C:\Raccourci vers ACERDATA (D).lnk

[30/03/2010 23:00|--a------|2099] C:\UsbFix.txt

[05/01/2009 19:57|--a------|184848] C:\kxop.exe

[05/01/2009 19:57|--a------|163840] C:\kdcsnn.exe

[31/05/2008 14:46|--a------|4898552] D:\LimeWireWin.exe

[04/12/2008 20:59|--a------|15360] D:\demandedelistings.xls

[22/12/2008 13:24|--a------|28224032] D:\IE7-WindowsServer2003-x64-fra.exe

[28/12/2008 19:09|--a------|1842024] D:\Installation_WLMessenger2009.exe

[29/03/2010 06:23|--ahs----|375005184] D:\pagefile.sys

[29/03/2010 06:37|--a------|71798] D:\JavaRa.zip

[29/03/2010 07:14|--a------|253264] D:\SoftonicDownloader62963.exe

[14/06/2008 17:19|--a------|4658749] E:\Fall Out Boys - Beat It.mp3

[31/05/2008 21:01|--a------|734801920] E:\BENJAMIN GATES ET LE LIVRE DES SECRETS 2008 FRENCH.avi

[14/08/2008 21:28|--a------|5471729] E:\Muse - 08 - Hysteria.mp3

[31/05/2008 19:37|--a------|9603072] E:\Muse - Starlight.mp3

[04/08/2004 00:55|--a------|28672] E:\setupSNK.exe

[14/12/2008 19:22|--a------|1392] E:\limewire.m3u

[30/03/2010 22:59|---h-----|184864] G:\m.exe

[30/03/2010 22:59|---h-----|53] G:\autorun.inf

[10/07/2009 06:23|--a------|734078976] G:\Frozen River.avi

[17/02/2010 16:30|--a------|729600000] G:\Mademoiselle Chambon Comedie.avi

[02/03/2010 04:05|--a------|918663168] G:\Les rois du desert.avi

[10/03/2010 10:22|--a------|734453760] G:\Nathalie.avi

[31/12/2009 20:37|--a------|733257808] G:\Joueuse.avi

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_ACER-86ABAAF10A.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.100 ! |

 

Quand j'ai cliqué pour envoyer le fichier, il a automatiquement refermé le navigateur !

 

J'ai effectué la tâche 3, la vaccination.

Voici le rapport :

 

############################## | UsbFix V6.100 |

 

User : will (Administrateurs) # ACER-86ABAAF10A

Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8

Start at: 23:21:21 | 30/03/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Celeron® M processor 1500MHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

 

C:\ -> Disque fixe local # 7,8 Go (397,24 Mo free) [ACER] # FAT32

D:\ -> Disque fixe local # 12,69 Go (10,1 Go free) [ACERDATA] # FAT32

E:\ -> Disque fixe local # 13,8 Go (10,3 Go free) [ARCHIVAGE] # FAT32

F:\ -> Disque CD-ROM

G:\ -> Disque amovible # 7,45 Go (3,87 Go free) [KINGSTON] # FAT32

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | ! Fin du rapport # UsbFix V6.100 ! |

 

Ce qui m'inquiète un peu, c'est que sur ma clé USB,à chaque fois que je la branche sur ce PC, j'ai un fichié caché m,

avec le sigle de Skype, et c'est antivir sur le mien qui le vire en quarantaine.

Malgré ces trois travaux,si je branche ma clé, elle rechoppe à chaque fois ce fichier m.

Si je fais supprimer, il réapparait dans les deux trois secondes...

 

En allant dans C pour l'envoi chez Virustotal, j'ai vu un fichier non caché celui-là avec le même sigle à la racine de C, kxop.exe. Cela n'a peut-être rien à voir.

 

5ème travail :

 

J'ai exécuté TFC par Old-Timer. Il a libéré 146 mb.

 

6ème travail :

 

J'ai fait l'update (§.19) avec JavaRa et le reste.

 

Voilà.

Je ne sais pas comment bloquer les processus non indispensables au démarrage.

 

J'ai essayé d'installer Antivir : impossible et mbam, impossible aussi.

Je suis sur le site de Zebulon avec le PC, parce que j'ai recopié l'adresse du sujet sans passer par communauté, forum, parce que dès que je clique à l'intérieur du sous forum sécurité, il se ferme.

 

Voilà tout Pear, j'attends de vos nouvelles et j'essayerai de ne plus écraser de fichiers.

Merci d'avance.

[pear]

Bonjour,

Impossible de désinstaller Avast

Outils de désinstallation Antivirus

 

Ce qui m'inquiète un peu, c'est que sur ma clé USB,à chaque fois que je la branche sur ce PC, j'ai un fichié caché m,

avec le sigle de Skype, et c'est antivir sur le mien qui le vire en quarantaine.

 

Formatez la clé.

L'aviez vous branchée avant de lancer usbfix ?

Dans le cas contraire il faut recommencer. Les clés Usb et autres supports amovibles doivent être branchés, comme indiqué dans la procédure.

 

En allant dans C pour l'envoi chez Virustotal, j'ai vu un fichier non caché celui-là avec le même sigle à la racine de C, kxop.exe. Cela n'a peut-être rien à voir.

 

faites le tester chez virus total

 

Je ne sais pas comment bloquer les processus non indispensables au démarrage.

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

c:\windows\system32\fdbbcebe.dll

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RemoteControl"=-

"IMJPMIG8.1"=-

"MSPY2002"=-

"PHIME2002ASync"=-

"PHIME2002A"=-

"Remote_Agent"=-

"swg"=-

"MsnMsgr"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fdbbcebe]

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

J'ai essayé d'installer Antivir : impossible et mbam, impossible aussi

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[ibajo1]

Bonjour Pear,

 

Désinstallation avast, cela avait été réalisé entre-temps avec le désinstalleur d'avast. Ajout/suppression ne marchait pas.

 

Le virus "m" sur la clé. Sauf erreur de ma part, ma clé était resté branchée pendant les trois tâches de UsbFix. Je vais recommencer la manoeuvre.

 

J'ai trois fichiers .exe à la racine de C : je les ai soumis tous les trois chez virustotal : voici les rapports :

 

1er :

 

Fichier kxop.exe reçu le 2010.03.31 11:47:57 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.31 AdWare.Win32.BHO!IK

AhnLab-V3 5.0.0.2 2010.03.30 Win-Trojan/Agent.184864

AntiVir 7.10.6.8 2010.03.31 TR/Spy.Agent.fdq.2

Antiy-AVL 2.0.3.7 2010.03.31 Trojan/Win32.Qhost.gen

Authentium 5.2.0.5 2010.03.31 W32/Autorun.LY

Avast 4.8.1351.0 2010.03.31 Win32:Agent-AIBK

Avast5 5.0.332.0 2010.03.31 Win32:Agent-AIBK

AVG 9.0.0.787 2010.03.31 Generic12.APRA

BitDefender 7.2 2010.03.31 Trojan.Generic.1619889

CAT-QuickHeal 10.00 2010.03.31 Trojan.Qhost.aru

ClamAV 0.96.0.0-git 2010.03.31 Trojan.Agent-70879

Comodo 4449 2010.03.31 TrojWare.Win32.Spy.Agent.fdq_20

DrWeb 5.0.2.03300 2010.03.31 Trojan.DownLoad.31981

eSafe 7.0.17.0 2010.03.28 Win32.HEURCrypted.E

eTrust-Vet 35.2.7399 2010.03.31 Win32/Boolwark.D

F-Prot 4.5.1.85 2010.03.31 W32/Autorun.LY

F-Secure 9.0.15370.0 2010.03.31 Trojan.Generic.1619889

Fortinet 4.0.14.0 2010.03.30 W32/Agent.BSE!tr

GData 19 2010.03.31 Trojan.Generic.1619889

Ikarus T3.1.1.80.0 2010.03.31 AdWare.Win32.BHO

Jiangmin 13.0.900 2010.03.31 Trojan/Qhosts.at

K7AntiVirus 7.10.1004 2010.03.22 Trojan.Win32.Qhost.kqq

Kaspersky 7.0.0.125 2010.03.31 Trojan.Win32.Qhost.aru

McAfee 5936 2010.03.30 Spy-Agent.dy

McAfee+Artemis 5936 2010.03.30 Spy-Agent.dy

McAfee-GW-Edition 6.8.5 2010.03.31 Heuristic.BehavesLike.Win32.Spyware.H

Microsoft 1.5605 2010.03.31 Worm:Win32/Swimnag.gen!A

NOD32 4987 2010.03.31 Win32/Agent.OKD

Norman 6.04.10 2010.03.31 W32/Smalltroj.IZNG

nProtect 2009.1.8.0 2010.03.31 Trojan/W32.Qhost.184848.D

Panda 10.0.2.2 2010.03.30 -

PCTools 7.0.3.5 2010.03.31 Trojan.SpamThru

Prevx 3.0 2010.03.31 High Risk Cloaked Malware

Rising 22.41.02.02 2010.03.31 Trojan.Win32.Undef.uct

Sophos 4.52.0 2010.03.31 Mal/Behav-316

Sunbelt 6120 2010.03.31 Trojan.Win32.Generic!BT

Symantec 20091.2.0.41 2010.03.31 Trojan.SpamThru

TheHacker 6.5.2.0.248 2010.03.31 Trojan/Qhost.kqn

TrendMicro 9.120.0.1004 2010.03.31 TROJ_AGENTT.AO

VBA32 3.12.12.2 2010.03.30 Trojan.Win32.Qhost.kqn

ViRobot 2010.3.31.2254 2010.03.31 Trojan.Win32.Qhost.184848.B

VirusBuster 5.0.27.0 2010.03.31 Trojan.Qhost.BFH

 

Information additionnelle

File size: 184848 bytes

MD5   : 83f438722ab7933eb77cf0f17ad9f65b

SHA1  : d69d8a802a21d09735db319830ddac991666bd52

SHA256: 605d59e245722ef8973dab9f80a4f3efc01e779b3ca402c9c5adee220eb97835

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x3EC10<BR>timedatestamp.....: 0x492D856B (Wed Nov 26 18:20:43 2008)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x12000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x13000 0x2C000 0x2BE00 7.82 7c85455d89d3e4cad82c3bf6959d29e4<BR>.rsrc 0x3F000 0x1000 0x1000 3.98 fb63cbfb663fd1943d508f49628d131e<BR><BR>( 9 imports )<BR><BR>> advapi32.dll: RegCloseKey<BR>> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess<BR>> msvcp60.dll: __0_Lockit@std@@QAE@XZ<BR>> msvcrt.dll: exit<BR>> psapi.dll: EnumProcesses<BR>> shell32.dll: CommandLineToArgvW<BR>> shlwapi.dll: StrChrW<BR>> user32.dll: wsprintfA<BR>> wininet.dll: InternetOpenW<BR><BR>( 0 exports )<BR>

TrID  : File type identification<BR>39.5% (.EXE) UPX compressed Win32 Executable (30569/9/7)<BR>34.3% (.EXE) Win32 EXE Yoda's Crypter (26569/9/4)<BR>11.0% (.EXE) Win32 Executable Generic (8527/13/3)<BR>9.8% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2)<BR>2.5% (.EXE) Generic Win/DOS Executable (2002/3)

ssdeep: 3072:AECUCWNMEvGHrVk6QzJIg6CFchLaeAUTSqKxjonZkmLfdMwtPhob8hBvfJM8pqkd:iCMXrVkfNI

9LaeNTFKmZkGMCpfhBJMFg

sigcheck: publisher....: Skype Ltd<BR>copyright....: Copyright © 2006<BR>product......: ldm<BR>description..: skype<BR>original name: skype.com<BR>internal name: skype<BR>file version.: 1, 3, 2, 136<BR>comments.....: Skype Connect<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

Prevx Info: <A href="http://info.prevx.com/aboutprogramtext.asp?PX5=18C5197A1073691ED25C024560B4110088A889DC" target=_blank>http://info.prevx.com/aboutprogramtext.asp?PX5=18C5197A1073691ED25C024560B4110088A889DC</A>

PEiD  : UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

CWSandbox: <A href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=83f438722ab7933eb77cf0f17ad9f65b" target=_blank>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=83f438722ab7933eb77cf0f17ad9f65b</A>

packers (Authentium): UPX

RDS   : NSRL Reference Data Set<BR>-

 

 

2ème :

 

Fichier kdcsnn.exe reçu le 2010.03.31 11:51:04 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.31 Trojan-Downloader.Win32.VB!IK

AhnLab-V3 5.0.0.2 2010.03.30 Win-Trojan/Xema.variant

AntiVir 7.10.6.8 2010.03.31 TR/Dropper.Gen

Antiy-AVL 2.0.3.7 2010.03.31 Trojan/Win32.VB.gen

Authentium 5.2.0.5 2010.03.31 W32/Trojan2.HVQJ

Avast 4.8.1351.0 2010.03.31 Win32:Trojan-gen

Avast5 5.0.332.0 2010.03.31 Win32:Trojan-gen

AVG 9.0.0.787 2010.03.31 Dropper.VB.BTR

BitDefender 7.2 2010.03.31 Trojan.Generic.1360392

CAT-QuickHeal 10.00 2010.03.31 Trojan.VB.jcr

ClamAV 0.96.0.0-git 2010.03.31 Trojan.VB-5961

Comodo 4449 2010.03.31 Backdoor.Win32.VB.~ADA

DrWeb 5.0.2.03300 2010.03.31 BackDoor.IRC.NesBot.2

eSafe 7.0.17.0 2010.03.28 -

eTrust-Vet 35.2.7399 2010.03.31 -

F-Prot 4.5.1.85 2010.03.31 W32/Trojan2.HVQJ

F-Secure 9.0.15370.0 2010.03.31 Trojan.Generic.1360392

Fortinet 4.0.14.0 2010.03.30 -

GData 19 2010.03.31 Trojan.Generic.1360392

Ikarus T3.1.1.80.0 2010.03.31 Trojan-Downloader.Win32.VB

Jiangmin 13.0.900 2010.03.31 Trojan/VB.fzi

K7AntiVirus 7.10.1004 2010.03.22 Trojan.Win32.VB

Kaspersky 7.0.0.125 2010.03.31 Trojan.Win32.VB.jcr

McAfee 5936 2010.03.30 -

McAfee+Artemis 5936 2010.03.30 Artemis!CA14DA12B6A0

McAfee-GW-Edition 6.8.5 2010.03.31 Trojan.Dropper.Gen

Microsoft 1.5605 2010.03.31 VirTool:Win32/VBInject.gen!AN

NOD32 4987 2010.03.31 a variant of Win32/Injector.YI

Norman 6.04.10 2010.03.31 W32/VBTroj.BDCC

nProtect 2009.1.8.0 2010.03.31 -

Panda 10.0.2.2 2010.03.30 Trj/VB.AEQ

PCTools 7.0.3.5 2010.03.31 Trojan.Generic

Prevx 3.0 2010.03.31 Internet Chat High Risk Worm

Rising 22.41.02.02 2010.03.31 -

Sophos 4.52.0 2010.03.31 Mal/Generic-E

Sunbelt 6120 2010.03.31 Trojan.Win32.VB

Symantec 20091.2.0.41 2010.03.31 Trojan Horse

TheHacker 6.5.2.0.248 2010.03.31 -

TrendMicro 9.120.0.1004 2010.03.31 TROJ_GENERIC.DIT

VBA32 3.12.12.2 2010.03.30 Trojan.Win32.VB.jcr

ViRobot 2010.3.31.2254 2010.03.31 -

VirusBuster 5.0.27.0 2010.03.31 Trojan.VB.EWOT

 

Information additionnelle

File size: 163840 bytes

MD5   : ca14da12b6a002469eb0ca6e4d2bc806

SHA1  : 018b32ec6bf4068130fa88cae0023d49d4741b3d

SHA256: 2547aef70fcc57f97fdde4cd23c1f551a67c5ca88cc256b0cc2f1d23b77960d0

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401114<BR>timedatestamp.....: 0x494ABFC3 (Thu Dec 18 22:25:23 2008)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x5AAC 0x6000 4.68 37ab171922264b575825686c8436ac53<BR>.data 0x7000 0xC44 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rsrc 0x8000 0x8B0 0x21000 4.15 0d5bfd37312335e10c81385ba3220c53<BR><BR>( 0 imports )<BR><BR><BR>( 0 exports )<BR>

TrID  : File type identification<BR>Win32 Executable Generic (68.0%)<BR>Generic Win/DOS Executable (15.9%)<BR>DOS Executable Generic (15.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ssdeep: 1536:+RnNuH+nBXUH+U94AlnwHn9brgCtUZW6ASSAQtk/hpF99euIE3xuvy0v+zz8OTG8:+2HeBEeU93xAIQqEu7uvn2TG4JzI5/AZ

sigcheck: publisher....: GJDF463DSA3WRFJSFHG<BR>copyright....: GJDF463DSA3WRFJSFHG<BR>product......: GJDF463DSA3WRFJSFHG<BR>description..: GJDF463DSA3WRFJSFHG<BR>original name: asdf1.exe<BR>internal name: asdf1<BR>file version.: 1.00<BR>comments.....: GJDF463DSA3WRFJSFHG<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

Prevx Info: <A href="http://info.prevx.com/aboutprogramtext.asp?PX5=D557E12500D32F478008022B745516005EB13AE1" target=_blank>http://info.prevx.com/aboutprogramtext.asp?PX5=D557E12500D32F478008022B745516005EB13AE1</A>

PEiD  : -

CWSandbox: <A href="http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ca14da12b6a002469eb0ca6e4d2bc806" target=_blank>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ca14da12b6a002469eb0ca6e4d2bc806</A>

RDS   : NSRL Reference Data Set<BR>-

 

 

3ème :

 

Fichier xqgtel.exe reçu le 2010.03.31 11:54:02 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.31 Trojan-Spy.Finanz.J!IK

AhnLab-V3 5.0.0.2 2010.03.30 Win-Trojan/Bukash.84480

AntiVir 7.10.6.8 2010.03.31 TR/Downloader.Gen

Antiy-AVL 2.0.3.7 2010.03.31 Trojan/Win32.Injecter.gen

Authentium 5.2.0.5 2010.03.31 W32/Downldr2.FCBP

Avast 4.8.1351.0 2010.03.31 Win32:Trojan-gen

Avast5 5.0.332.0 2010.03.31 Win32:Trojan-gen

AVG 9.0.0.787 2010.03.31 Agent_r.IE

BitDefender 7.2 2010.03.31 Trojan.Generic.1268168

CAT-QuickHeal 10.00 2010.03.31 TrojanDownloader.Injecter.bgu

ClamAV 0.96.0.0-git 2010.03.31 Trojan.Downloader-64303

Comodo 4449 2010.03.31 TrojWare.Win32.Downloader.Injecter.~AA

DrWeb 5.0.2.03300 2010.03.31 Trojan.DownLoad.26718

eSafe 7.0.17.0 2010.03.28 Win32.TrojanHorse

eTrust-Vet 35.2.7399 2010.03.31 Win32/SillyDl.GJO

F-Prot 4.5.1.85 2010.03.31 W32/Downldr2.FCBP

F-Secure 9.0.15370.0 2010.03.31 Trojan-Downloader:W32/Bukash.A

Fortinet 4.0.14.0 2010.03.30 W32/Downloader.BGU!tr.dldr

GData 19 2010.03.31 Trojan.Generic.1268168

Ikarus T3.1.1.80.0 2010.03.31 Trojan-Spy.Finanz.J

Jiangmin 13.0.900 2010.03.31 TrojanDownloader.Agent.akym

K7AntiVirus 7.10.1004 2010.03.22 Trojan-Downloader.Win32.Injecter.bgu

Kaspersky 7.0.0.125 2010.03.31 Trojan-Downloader.Win32.Injecter.bgu

McAfee 5936 2010.03.30 generic!bg.hry

McAfee+Artemis 5936 2010.03.30 generic!bg.hry

McAfee-GW-Edition 6.8.5 2010.03.31 Trojan.Downloader.Gen

Microsoft 1.5605 2010.03.31 TrojanDownloader:Win32/Slupim.B

NOD32 4987 2010.03.31 Win32/TrojanDownloader.Agent.OOH

Norman 6.04.10 2010.03.31 W32/DLoader.LYQA

nProtect 2009.1.8.0 2010.03.31 Trojan-Downloader/W32.Injecter.84480

Panda 10.0.2.2 2010.03.30 Trj/Injector.U

PCTools 7.0.3.5 2010.03.31 Trojan.Downloader

Prevx 3.0 2010.03.31 High Risk Worm

Rising 22.41.02.02 2010.03.31 Trojan.Win32.Undef.vui

Sophos 4.52.0 2010.03.31 Mal/Generic-L

Sunbelt 6120 2010.03.31 Trojan.Unidentified.Gen.FN

Symantec 20091.2.0.41 2010.03.31 Trojan Horse

TheHacker 6.5.2.0.248 2010.03.31 Trojan/Downloader.Injecter.bgu

TrendMicro 9.120.0.1004 2010.03.31 TROJ_AGENT.AGWE

VBA32 3.12.12.2 2010.03.30 Trojan-Downloader.Win32.Injecter.bgw

ViRobot 2010.3.31.2254 2010.03.31 Trojan.Win32.Downloader.88064.AS

VirusBuster 5.0.27.0 2010.03.31 Trojan.DL.Injecter.AJA

 

Information additionnelle

File size: 84480 bytes

MD5...: e0517566622508fe0c5e78c333541a57

SHA1..: dece18b19575138a1a1f7b66274d5ef0cc433f0b

SHA256: 9d410261cb2e634443a5ed80f3945ab5d314f4e2d934833e73397498719c56e0

ssdeep: 1536:VYQ90kmgvv37BBxRmdXYl+xSTr3eywa2fyEgT0bHdAPDdM/i3HImRlFsHLd<BR>FLgL2:VYQ9pvl3RmdNa3+fyEgT0bHWPK/wneO2<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x360a0<BR>timedatestamp.....: 0x495517f9 (Fri Dec 26 17:44:25 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x21000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x22000 0x15000 0x14400 7.83 a1733eba5e64e853f881f522a1d9b4d5<BR>UPX2 0x37000 0x1000 0x200 2.90 bceeecb8e12f764bfb2c5e1b71732cbc<BR><BR>( 5 imports ) <BR>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess<BR>> ADVAPI32.dll: RegCloseKey<BR>> USER32.dll: wsprintfA<BR>> WINMM.dll: timeGetTime<BR>> WS2_32.dll: -<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

pdfid.: -

trid..: UPX compressed Win32 Executable (39.5%)<BR>Win32 EXE Yoda's Crypter (34.3%)<BR>Win32 Executable Generic (11.0%)<BR>Win32 Dynamic Link Library (generic) (9.8%)<BR>Generic Win/DOS Executable (2.5%)

sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=e0517566622508fe0c5e78c333541a57' target='_blank'>http://www.threatexpert.com/report.aspx?md5=e0517566622508fe0c5e78c333541a57</a>

packers (Authentium): UPX

packers (Antiy-AVL): UPX 0.89.6 - 1.02 / 1.05 - 1.22

packers (F-Prot): UPX

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D62E73CF00BBC6D24A19014F6E69A20087D2E943' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D62E73CF00BBC6D24A19014F6E69A20087D2E943</a>

 

 

Je les supprime et vide la corbeille ou il y a une autre procédure ?

 

 

Combo nettoyage : cela c'est planté (écran bleu) ai juste su lire erreur irrécupérable.

Au redémarrage ai eu "winlogon.exe a rencontré u problème et doit être fermé"

Il n'y a pas eu de rapport généré.

 

 

Load TdssKiller : au moment d'aller chercher le fichier, la bébête a fermé mon navigateur.

Suis allé avec ma tour le charger chez support Kaspersky l'ai fait tourner et cela a donné ce rapport :

 

 

15:09:57:419 3448 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04

15:09:57:419 3448 ================================================================================

15:09:57:419 3448 SystemInfo:

 

15:09:57:419 3448 OS Version: 5.1.2600 ServicePack: 2.0

15:09:57:419 3448 Product type: Workstation

15:09:57:419 3448 ComputerName: ACER-86ABAAF10A

15:09:57:419 3448 UserName: will

15:09:57:419 3448 Windows directory: C:\WINDOWS

15:09:57:419 3448 Processor architecture: Intel x86

15:09:57:419 3448 Number of processors: 1

15:09:57:419 3448 Page size: 0x1000

15:09:57:419 3448 Boot type: Normal boot

15:09:57:419 3448 ================================================================================

15:09:57:489 3448 UnloadDriverW: NtUnloadDriver error 2

15:09:57:489 3448 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

15:09:57:920 3448 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

15:09:57:920 3448 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

15:09:57:920 3448 wfopen_ex: Trying to KLMD file open

15:09:57:920 3448 wfopen_ex: File opened ok (Flags 2)

15:09:57:920 3448 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

15:09:57:920 3448 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

15:09:57:920 3448 wfopen_ex: Trying to KLMD file open

15:09:57:920 3448 wfopen_ex: File opened ok (Flags 2)

15:09:57:920 3448 Initialize success

15:09:57:920 3448

15:09:57:920 3448 Scanning Services ...

15:09:58:510 3448 Raw services enum returned 335 services

15:09:58:510 3448

15:09:58:510 3448 Scanning Kernel memory ...

15:09:58:510 3448 Devices to scan: 8

15:09:58:510 3448

15:09:58:510 3448 Driver Name: Disk

15:09:58:510 3448 IRP_MJ_CREATE : F991FC30

15:09:58:510 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:510 3448 IRP_MJ_CLOSE : F991FC30

15:09:58:510 3448 IRP_MJ_READ : F9919D9B

15:09:58:510 3448 IRP_MJ_WRITE : F9919D9B

15:09:58:510 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:520 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:520 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:520 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:520 3448 IRP_MJ_FLUSH_BUFFERS : F991A366

15:09:58:520 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:520 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:520 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:520 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:520 3448 IRP_MJ_DEVICE_CONTROL : F991A44D

15:09:58:520 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F991DFC3

15:09:58:520 3448 IRP_MJ_SHUTDOWN : F991A366

15:09:58:520 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:520 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:520 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:520 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:520 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:520 3448 IRP_MJ_POWER : F991BEF3

15:09:58:520 3448 IRP_MJ_SYSTEM_CONTROL : F9920A24

15:09:58:520 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:520 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:520 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:530 3448 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1

15:09:58:530 3448

15:09:58:530 3448 Driver Name: USBSTOR

15:09:58:530 3448 IRP_MJ_CREATE : F9CAE218

15:09:58:530 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:530 3448 IRP_MJ_CLOSE : F9CAE218

15:09:58:530 3448 IRP_MJ_READ : F9CAE23C

15:09:58:530 3448 IRP_MJ_WRITE : F9CAE23C

15:09:58:530 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:530 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:530 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:530 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:530 3448 IRP_MJ_FLUSH_BUFFERS : 804FB8EE

15:09:58:530 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:530 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:530 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:530 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:530 3448 IRP_MJ_DEVICE_CONTROL : F9CAE180

15:09:58:530 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F9CA99E6

15:09:58:530 3448 IRP_MJ_SHUTDOWN : 804FB8EE

15:09:58:530 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:530 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:530 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:530 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:530 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:530 3448 IRP_MJ_POWER : F9CAD5F0

15:09:58:530 3448 IRP_MJ_SYSTEM_CONTROL : F9CABA6E

15:09:58:530 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:530 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:530 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:550 3448 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1

15:09:58:550 3448

15:09:58:550 3448 Driver Name: Disk

15:09:58:550 3448 IRP_MJ_CREATE : F991FC30

15:09:58:550 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:550 3448 IRP_MJ_CLOSE : F991FC30

15:09:58:550 3448 IRP_MJ_READ : F9919D9B

15:09:58:550 3448 IRP_MJ_WRITE : F9919D9B

15:09:58:550 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:550 3448 IRP_MJ_FLUSH_BUFFERS : F991A366

15:09:58:550 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:550 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:550 3448 IRP_MJ_DEVICE_CONTROL : F991A44D

15:09:58:550 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F991DFC3

15:09:58:550 3448 IRP_MJ_SHUTDOWN : F991A366

15:09:58:550 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:550 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:550 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:550 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:550 3448 IRP_MJ_POWER : F991BEF3

15:09:58:550 3448 IRP_MJ_SYSTEM_CONTROL : F9920A24

15:09:58:550 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:550 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:550 3448 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1

15:09:58:550 3448

15:09:58:550 3448 Driver Name: Disk

15:09:58:550 3448 IRP_MJ_CREATE : F991FC30

15:09:58:550 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:550 3448 IRP_MJ_CLOSE : F991FC30

15:09:58:550 3448 IRP_MJ_READ : F9919D9B

15:09:58:550 3448 IRP_MJ_WRITE : F9919D9B

15:09:58:550 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:550 3448 IRP_MJ_FLUSH_BUFFERS : F991A366

15:09:58:550 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:550 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:550 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:550 3448 IRP_MJ_DEVICE_CONTROL : F991A44D

15:09:58:550 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F991DFC3

15:09:58:550 3448 IRP_MJ_SHUTDOWN : F991A366

15:09:58:550 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:550 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:550 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:550 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:550 3448 IRP_MJ_POWER : F991BEF3

15:09:58:550 3448 IRP_MJ_SYSTEM_CONTROL : F9920A24

15:09:58:550 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:550 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:550 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:560 3448 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1

15:09:58:560 3448

15:09:58:560 3448 Driver Name: Disk

15:09:58:560 3448 IRP_MJ_CREATE : F991FC30

15:09:58:560 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLOSE : F991FC30

15:09:58:560 3448 IRP_MJ_READ : F9919D9B

15:09:58:560 3448 IRP_MJ_WRITE : F9919D9B

15:09:58:560 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_FLUSH_BUFFERS : F991A366

15:09:58:560 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_DEVICE_CONTROL : F991A44D

15:09:58:560 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F991DFC3

15:09:58:560 3448 IRP_MJ_SHUTDOWN : F991A366

15:09:58:560 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:560 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_POWER : F991BEF3

15:09:58:560 3448 IRP_MJ_SYSTEM_CONTROL : F9920A24

15:09:58:560 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:560 3448 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1

15:09:58:560 3448

15:09:58:560 3448 Driver Name: Disk

15:09:58:560 3448 IRP_MJ_CREATE : F991FC30

15:09:58:560 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLOSE : F991FC30

15:09:58:560 3448 IRP_MJ_READ : F9919D9B

15:09:58:560 3448 IRP_MJ_WRITE : F9919D9B

15:09:58:560 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_FLUSH_BUFFERS : F991A366

15:09:58:560 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_DEVICE_CONTROL : F991A44D

15:09:58:560 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F991DFC3

15:09:58:560 3448 IRP_MJ_SHUTDOWN : F991A366

15:09:58:560 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:560 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_POWER : F991BEF3

15:09:58:560 3448 IRP_MJ_SYSTEM_CONTROL : F9920A24

15:09:58:560 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:560 3448 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1

15:09:58:560 3448

15:09:58:560 3448 Driver Name: Disk

15:09:58:560 3448 IRP_MJ_CREATE : F991FC30

15:09:58:560 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLOSE : F991FC30

15:09:58:560 3448 IRP_MJ_READ : F9919D9B

15:09:58:560 3448 IRP_MJ_WRITE : F9919D9B

15:09:58:560 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_FLUSH_BUFFERS : F991A366

15:09:58:560 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_DEVICE_CONTROL : F991A44D

15:09:58:560 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F991DFC3

15:09:58:560 3448 IRP_MJ_SHUTDOWN : F991A366

15:09:58:560 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:560 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_POWER : F991BEF3

15:09:58:560 3448 IRP_MJ_SYSTEM_CONTROL : F9920A24

15:09:58:560 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:560 3448 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1

15:09:58:560 3448

15:09:58:560 3448 Driver Name: atapi

15:09:58:560 3448 IRP_MJ_CREATE : F980D572

15:09:58:560 3448 IRP_MJ_CREATE_NAMED_PIPE : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLOSE : F980D572

15:09:58:560 3448 IRP_MJ_READ : 804FB8EE

15:09:58:560 3448 IRP_MJ_WRITE : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_EA : 804FB8EE

15:09:58:560 3448 IRP_MJ_FLUSH_BUFFERS : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8EE

15:09:58:560 3448 IRP_MJ_DIRECTORY_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_DEVICE_CONTROL : F980D592

15:09:58:560 3448 IRP_MJ_INTERNAL_DEVICE_CONTROL : F98097B4

15:09:58:560 3448 IRP_MJ_SHUTDOWN : 804FB8EE

15:09:58:560 3448 IRP_MJ_LOCK_CONTROL : 804FB8EE

15:09:58:560 3448 IRP_MJ_CLEANUP : 804FB8EE

15:09:58:560 3448 IRP_MJ_CREATE_MAILSLOT : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_SECURITY : 804FB8EE

15:09:58:560 3448 IRP_MJ_POWER : F980D5BC

15:09:58:560 3448 IRP_MJ_SYSTEM_CONTROL : F9814164

15:09:58:560 3448 IRP_MJ_DEVICE_CHANGE : 804FB8EE

15:09:58:560 3448 IRP_MJ_QUERY_QUOTA : 804FB8EE

15:09:58:560 3448 IRP_MJ_SET_QUOTA : 804FB8EE

15:09:58:570 3448 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1

15:09:58:570 3448

15:09:58:570 3448 Completed

15:09:58:570 3448

15:09:58:570 3448 Results:

15:09:58:570 3448 Memory objects infected / cured / cured on reboot: 0 / 0 / 0

15:09:58:570 3448 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

15:09:58:570 3448 File objects infected / cured / cured on reboot: 0 / 0 / 0

15:09:58:570 3448

15:09:58:570 3448 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

15:09:58:570 3448 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

15:09:58:570 3448 KLMD(ARK) unloaded successfully

 

Il me semblait pourtant qu'il n'avait rien fait (très rapide) mais comme j'ai un rapport...

 

Ai redémarré le pc.

Ai fait tourner Rkill, voci le rapport :

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as will on 31/03/2010 at 15:29:08.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\WINDOWS\system32\rundll32.exe

D:\VCR II\Agent.exe

C:\Documents and Settings\will\Bureau\rkill.com

 

 

Rkill completed on 31/03/2010 at 15:29:14.

 

Il a refusé malgré cela d'installer Mbam.

J'ai aussi essayé dans la foulée Antivir : même refus.

 

Voilà Pear, j'attends de vos nouvelles et vos suggestions.

 

Merci beaucoup

[pear]

Bonsoir,

 

Seneka , détecté et supprimé par Combofix st une variante de tdss,raison pour laquelle je vous ai fait lancer TdssKiller pour débloquer Mbam.

Mauvaise piste.

Faites vérifier chez Virus Total:

c:\windows\system32\376e359ebd78aca00d78d222139af1b6.sys

 

Donnez moi aussi le chemin exact des 3 précédents .exe vérolés, svp

 

On suit une autre piste:

Recherche Win32kDiag

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

Modifié le 31 mars 2010 par pear

[ibajo1]

Rebonjour Pear,

 

Voici l'analyse chez VirusTotal (bien vu ! :c'est bien une crasse) :

 

Fichier 376e359ebd78aca00d78d222139af1b6. reçu le 2010.03.31 18:02:08 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.31 Virus.Win32.Trojan!IK

AhnLab-V3 5.0.0.2 2010.03.31 Win-Trojan/Rootkit.39936.C

AntiVir 7.10.6.10 2010.03.31 Rkit/Agent.39936

Antiy-AVL 2.0.3.7 2010.03.31 -

Authentium 5.2.0.5 2010.03.31 W32/Adware.AESR

Avast 4.8.1351.0 2010.03.31 Win32:Trojan-gen

Avast5 5.0.332.0 2010.03.31 Win32:Trojan-gen

AVG 9.0.0.787 2010.03.31 Generic12.BBZA

BitDefender 7.2 2010.03.31 Trojan.Downloader.Tdidrv.A

CAT-QuickHeal 10.00 2010.03.31 Trojan.Agent.WD

ClamAV 0.96.0.0-git 2010.03.31 -

Comodo 4451 2010.03.31 Win32.Rootkit.Small.~A

DrWeb 5.0.2.03300 2010.03.31 Trojan.NtRootKit.2686

eSafe 7.0.17.0 2010.03.31 Win32.MaliciousSoftw

eTrust-Vet 35.2.7400 2010.03.31 Win32/SillyDl.GQA

F-Prot 4.5.1.85 2010.03.31 W32/Adware.AESR

F-Secure 9.0.15370.0 2010.03.31 Rootkit:W32/Nockmd.A

Fortinet 4.0.14.0 2010.03.30 W32/Nockmd.A!tr.rkit

GData 19 2010.03.31 Trojan.Downloader.Tdidrv.A

Ikarus T3.1.1.80.0 2010.03.31 Virus.Win32.Trojan

Jiangmin 13.0.900 2010.03.31 -

K7AntiVirus 7.10.1004 2010.03.22 Trojan.Win32.Malware.1

Kaspersky 7.0.0.125 2010.03.31 -

McAfee 5937 2010.03.31 Generic Rootkit.d

McAfee+Artemis 5937 2010.03.31 Generic Rootkit.d

McAfee-GW-Edition 6.8.5 2010.03.31 Rootkit.Agent.39936

Microsoft 1.5605 2010.03.31 Adware:Win32/BHO.B

NOD32 4989 2010.03.31 Win32/Rootkit.Agent.NJF

Norman 6.04.10 2010.03.31 W32/Suspicious_Gen2.GXIZ

nProtect 2009.1.8.0 2010.03.31 Trojan/W32.Rootkit.39936.D

Panda 10.0.2.2 2010.03.31 Rootkit/Agent.LKN

PCTools 7.0.3.5 2010.03.31 Hacktool.Rootkit!sd6

Prevx 3.0 2010.03.31 High Risk Rootkit

Rising 22.41.02.02 2010.03.31 -

Sophos 4.52.0 2010.03.31 Troj/Rootkit-ES

Sunbelt 6120 2010.03.31 Trojan.Rootkit.GEN

Symantec 20091.2.0.41 2010.03.31 Hacktool.Rootkit

TheHacker 6.5.2.0.248 2010.03.31 -

TrendMicro 9.120.0.1004 2010.03.31 -

VBA32 3.12.12.4 2010.03.31 Win32.Rootkit.Agent.NJF

ViRobot 2010.3.31.2254 2010.03.31 Trojan.Win32.RT-Agent.39936.D

VirusBuster 5.0.27.0 2010.03.31 Adware.BHO.STV

 

Information additionnelle

File size: 39936 bytes

MD5...: 6c7234ec1cc778d45ffb265d026934a7

SHA1..: 850bb80105a1e96522af94ada769baa1fb502eed

SHA256: 67416fa252505ef418018db933e0a3e27b333055cf2711b4fab0ce2eff7907a4

ssdeep: 768:o2ZMWzKDw4nXOlf8WC52V4pCmJ3WVCEOMGcKCwgvALHeAYqHZJ8GO1Ja:lMW<BR>mDMlfzCINoCOMGAM3Y6ZeGO14<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x90d2<BR>timedatestamp.....: 0x49496bef (Wed Dec 17 21:15:27 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x820e 0x8400 5.99 67d262ae775b005dde3a0732400f613c<BR>.rdata 0xa000 0x794 0x800 5.06 7ef062e339f8e91b10903f8362de3944<BR>.data 0xb000 0x254 0x200 3.82 98d31f417f4d5cb7878d147140cff210<BR>.rsrc 0xc000 0x388 0x400 2.92 6dc20c7087d0a1afcca69a4c278d2f81<BR>.reloc 0xd000 0x4ae 0x600 4.87 d1bae48ba3da4d38e1725518114336aa<BR><BR>( 1 imports ) <BR>> ntoskrnl.exe: KeInitializeTimerEx, PsCreateSystemThread, KeSetTimerEx, _allmul, ExFreePool, KeCancelTimer, memset, ExAllocatePoolWithTag, KeWaitForSingleObject, IoCreateFile, ZwClose, ZwDuplicateObject, MmIsAddressValid, ObOpenObjectByPointer, ZwQuerySystemInformation, ObReferenceObjectByHandle, ZwOpenThread, ObfReferenceObject, PsLookupProcessByProcessId, ObfDereferenceObject, wcscmp, KeInsertQueueApc, KeInitializeApc, KeUnstackDetachProcess, MmMapLockedPagesSpecifyCache, KeStackAttachProcess, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, IoGetCurrentProcess, ZwCreateEvent, strncpy, memcpy, _except_handler3, ZwCreateFile, ZwWriteFile, ZwDeleteFile, KeServiceDescriptorTable, NtQueryDirectoryFile, memmove, wcslen, wcschr, RtlTimeToTimeFields, RtlTimeFieldsToTime, ExSystemTimeToLocalTime, KeQuerySystemTime, ZwQueryObject, ZwCreateKey, ZwSetValueKey, ZwQueryValueKey, KeSetEvent, RtlInitUnicodeString, KeInitializeEvent, RtlFreeUnicodeString, RtlCompareUnicodeString, RtlAnsiStringToUnicodeString, RtlUnicodeStringToAnsiString, RtlIntegerToUnicodeString, RtlUnicodeStringToInteger, RtlFreeAnsiString, IofCallDriver, IoBuildDeviceIoControlRequest, IoGetRelatedDeviceObject<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

pdfid.: -

trid..: Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E8C2E7CE00BB879A9C2B00D785FA2600772CBB09' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E8C2E7CE00BB879A9C2B00D785FA2600772CBB09</a>

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=6c7234ec1cc778d45ffb265d026934a7' target='_blank'>http://www.threatexpert.com/report.aspx?md5=6c7234ec1cc778d45ffb265d026934a7</a>

sigcheck:<BR>publisher....: Noves Inc<BR>copyright....: Noves Inc © 2007<BR>product......: Noves ckmd<BR>description..: ckmd<BR>original name: ckmd<BR>internal name: lasd<BR>file version.: 3, 35, 52, 123<BR>comments.....: <BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

 

 

Les trois fichiers précédents sont à la racine de C :

 

chemin1 : C:\kxop.exe

chemin2 : C:\kdcsnn.exe

chemin3 : C:\xqgtel.exe

 

Enfin voici le rapport de Win32Diag :

 

Running from: C:\Documents and Settings\will\Bureau\Win32kDiag.exe

 

Log file at : C:\Documents and Settings\will\Bureau\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\WINDOWS'...

 

 

 

 

 

Finished!

 

Voilà Pear.

Cela vaut-il la peine d'essayer Rkill puis Mbam en mode sans échec ?

Puis je supprimer les 3 fichiers .exe à la racine de C ?

Et le 4ème ?

 

J'attends vos précieux conseils.

Merci.

[ibajo1]

Bonjour Pear,

 

J'ai essayé en mode sans échec, cela ne marche pas.

Je suis allé avec le Pc sur le site de BitDefender jusqu'à la page scan on line.

IE ne s'est pas fermé.

Cela vaut'il la peine de le lancer ?

 

Je n'ai pas pris l'initiative sans votre accord.

Merci de votre réponse.

[pear]

Bonsoir,

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

C:\kxop.exe

C:\kdcsnn.exe

C:\xqgtel.exe

c:\windows\system32\376e359ebd78aca00d78d222139af1b6.sys

Rootkit::

376e359ebd78aca00d78d222139af1b6.sys

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[ibajo1]

Bonjour Pear,

 

Voici le rapport de ComboFix :

 

ComboFix 10-03-29.04 - will 01/04/2010 23:03:17.4.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.238.124 [GMT 2:00]

Lancé depuis: c:\documents and settings\will\Bureau\will.exe

Commutateurs utilisés :: c:\documents and settings\will\Bureau\CFScript.txt

 

FILE ::

"C:\kdcsnn.exe"

"C:\kxop.exe"

"c:\windows\system32\376e359ebd78aca00d78d222139af1b6.sys"

"C:\xqgtel.exe"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\kdcsnn.exe

C:\kxop.exe

c:\windows\system32\376e359ebd78aca00d78d222139af1b6.sys

C:\xqgtel.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_376e359ebd78aca00d78d222139af1b6

-------\Service_376e359ebd78aca00d78d222139af1b6

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-01 au 2010-04-01 ))))))))))))))))))))))))))))))))))))

.

 

2010-04-01 20:49 . 2010-04-01 20:49 -------- d-----w- c:\windows\system32\wbem\Repository

2010-03-31 12:40 . 2010-03-31 12:40 -------- d-----w- C:\tdsskiller

2010-03-31 01:32 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

2010-03-31 01:04 . 2010-03-31 01:04 -------- d-----w- c:\windows\ServicePackFiles

2010-03-31 01:03 . 2010-03-31 01:03 -------- d-----w- c:\windows\ie8updates

2010-03-30 22:32 . 2010-03-30 22:33 -------- d-----w- c:\program files\Fichiers communs\Java

2010-03-30 22:32 . 2010-03-30 22:32 503808 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-688ed81e-n\msvcp71.dll

2010-03-30 22:32 . 2010-03-30 22:32 61440 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1c6ac65b-n\decora-sse.dll

2010-03-30 22:32 . 2010-03-30 22:32 499712 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-688ed81e-n\jmc.dll

2010-03-30 22:32 . 2010-03-30 22:32 348160 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-688ed81e-n\msvcr71.dll

2010-03-30 22:32 . 2010-03-30 22:32 12800 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1c6ac65b-n\decora-d3d.dll

2010-03-30 21:00 . 2010-03-30 21:00 489952 ----a-w- C:\UsbFix_Upload_Me_ACER-86ABAAF10A.zip

2010-03-30 20:44 . 2010-03-30 20:44 -------- d-----w- C:\UsbFix

2010-03-30 19:59 . 2010-03-30 19:59 -------- d-----w- c:\documents and settings\All Users\Application Data\open-config

2010-03-30 17:49 . 2010-02-25 06:17 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll

2010-03-30 17:49 . 2010-02-25 06:17 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll

2010-03-30 17:49 . 2010-02-25 06:17 1985536 ------w- c:\windows\system32\dllcache\iertutil.dll

2010-03-30 17:49 . 2010-02-25 06:17 12800 ------w- c:\windows\system32\dllcache\xpshims.dll

2010-03-30 17:49 . 2010-02-25 06:17 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll

2010-03-29 12:11 . 2010-03-29 12:11 -------- d-sh--w- c:\documents and settings\Administrateur.ACER-86ABAAF10A\IETldCache

2010-03-29 08:24 . 2010-03-29 08:24 -------- d-----w- c:\program files\trend micro

2010-03-29 08:24 . 2010-03-29 08:24 -------- d-----w- C:\rsit

2010-03-29 08:04 . 2010-03-29 08:04 -------- d-----w- c:\documents and settings\will\Local Settings\Application Data\Temp

2010-03-29 07:50 . 2010-03-29 07:50 -------- d-----w- c:\program files\ZHPDiag

2010-03-29 06:40 . 2010-03-29 06:40 -------- d-sh--w- c:\documents and settings\will\IECompatCache

2010-03-29 06:39 . 2010-03-29 06:39 -------- d-sh--w- c:\documents and settings\will\PrivacIE

2010-03-29 06:36 . 2010-03-29 06:36 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2010-03-29 06:34 . 2010-03-29 06:34 -------- d-sh--w- c:\documents and settings\will\IETldCache

2010-03-29 06:34 . 2010-03-29 06:34 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-03-29 06:26 . 2010-03-29 06:26 -------- d--h--w- c:\windows\ie8

2010-03-29 06:26 . 2010-03-29 06:26 -------- d-----w- c:\windows\system32\fr-FR

2010-03-29 05:59 . 2010-03-29 05:59 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

2010-03-29 05:15 . 2010-03-29 05:15 -------- d-----w- c:\program files\VS Revo Group

2010-03-29 04:35 . 2010-03-29 04:35 -------- d-----w- c:\windows\system32\LogFiles

2010-03-29 04:34 . 2010-03-09 02:28 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-03-29 04:15 . 2010-03-29 04:15 -------- d-----w- c:\program files\microsoft frontpage

2010-03-29 03:52 . 2010-03-29 03:52 -------- d-----w- c:\documents and settings\Administrateur.ACER-86ABAAF10A\Application Data\DivX

2010-03-29 02:20 . 2010-03-29 02:20 -------- d-----w- c:\documents and settings\TEMP.ACER-86ABAAF10A.001

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-01 21:08 . 2004-09-20 09:34 12 ----a-w- c:\windows\bthservsdp.dat

2010-04-01 13:45 . 1979-12-31 22:00 72556 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-01 13:45 . 1979-12-31 22:00 460436 ----a-w- c:\windows\system32\perfh00C.dat

2010-03-31 12:27 . 2007-04-18 00:05 312847 ----a-w- c:\windows\system32\fdbbcebe.dll

2010-02-25 06:17 . 1979-12-31 22:00 916480 ----a-w- c:\windows\system32\wininet.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-12 68856]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 98304]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 532480]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 110592]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-02-10 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-02-10 118784]

"EPM-DM"="c:\acer\epm\epm-dm.exe" [2004-07-14 151552]

"ePowerManagement"="c:\acer\ePM\ePM.exe" [2004-09-01 2876416]

"LManager"="c:\program files\Launch Manager\QtZgAcer.EXE" [2004-07-30 319488]

"YeppStudioAgent"="c:\program files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe" [2005-09-12 40960]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"Agent"="d:\vcr ii\Agent.exe" [2002-10-01 94208]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Sitecom Wireless Utility.lnk - c:\program files\Sitecom\Common\WLANUtil.exe [2008-8-21 679936]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fdbbcebe]

2010-03-31 12:27 312847 ----a-w- c:\windows\system32\fdbbcebe.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft;c:\windows\system32\drivers\smbhc.sys [20/09/2004 11:11 6784]

R3 SMBBATT;Pilote de batterie intelligente Microsoft;c:\windows\system32\drivers\smbbatt.sys [20/09/2004 11:12 16128]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29/03/2010 7:25 135664]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [10/05/2008 18:41 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [10/05/2008 18:42 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [10/05/2008 18:42 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [10/05/2008 18:42 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [10/05/2008 18:42 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [10/05/2008 18:42 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [10/05/2008 18:42 97704]

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 13:42]

 

2010-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-29 05:25]

 

2010-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-29 05:25]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-01 23:11

Windows 5.1.2600 Service Pack 2 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(620)

c:\windows\system32\fdbbcebe.dll

 

- - - - - - - > 'explorer.exe'(452)

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\acer\eManager\anbmServ.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\rundll32.exe

c:\program files\Fichiers communs\Teleca Shared\Generic.exe

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

.

**************************************************************************

.

Heure de fin: 2010-04-01 23:15:58 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-04-01 21:15

ComboFix2.txt 2010-04-01 20:37

ComboFix3.txt 2010-03-29 04:29

 

Avant-CF: 216.932.352 octets libres

Après-CF: 184.758.272 octets libres

 

- - End Of File - - 5236F1E808CC6004495477D275926EAF

 

puis il m'a demandé d'être connecté à internet pour complément d'information, a envoyé un fichier et a affiché un log.txt (le même je crois) que voici :

 

ComboFix 10-03-29.04 - will 01/04/2010 23:03:17.4.1 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.238.124 [GMT 2:00]

Lancé depuis: c:\documents and settings\will\Bureau\will.exe

Commutateurs utilisés :: c:\documents and settings\will\Bureau\CFScript.txt

 

FILE ::

"C:\kdcsnn.exe"

"C:\kxop.exe"

"c:\windows\system32\376e359ebd78aca00d78d222139af1b6.sys"

"C:\xqgtel.exe"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\kdcsnn.exe

C:\kxop.exe

c:\windows\system32\376e359ebd78aca00d78d222139af1b6.sys

C:\xqgtel.exe

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_376e359ebd78aca00d78d222139af1b6

-------\Service_376e359ebd78aca00d78d222139af1b6

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-01 au 2010-04-01 ))))))))))))))))))))))))))))))))))))

.

 

2010-04-01 20:49 . 2010-04-01 20:49 -------- d-----w- c:\windows\system32\wbem\Repository

2010-03-31 12:40 . 2010-03-31 12:40 -------- d-----w- C:\tdsskiller

2010-03-31 01:32 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

2010-03-31 01:04 . 2010-03-31 01:04 -------- d-----w- c:\windows\ServicePackFiles

2010-03-31 01:03 . 2010-03-31 01:03 -------- d-----w- c:\windows\ie8updates

2010-03-30 22:32 . 2010-03-30 22:33 -------- d-----w- c:\program files\Fichiers communs\Java

2010-03-30 22:32 . 2010-03-30 22:32 503808 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-688ed81e-n\msvcp71.dll

2010-03-30 22:32 . 2010-03-30 22:32 61440 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1c6ac65b-n\decora-sse.dll

2010-03-30 22:32 . 2010-03-30 22:32 499712 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-688ed81e-n\jmc.dll

2010-03-30 22:32 . 2010-03-30 22:32 348160 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-688ed81e-n\msvcr71.dll

2010-03-30 22:32 . 2010-03-30 22:32 12800 ----a-w- c:\documents and settings\will\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1c6ac65b-n\decora-d3d.dll

2010-03-30 21:00 . 2010-03-30 21:00 489952 ----a-w- C:\UsbFix_Upload_Me_ACER-86ABAAF10A.zip

2010-03-30 20:44 . 2010-03-30 20:44 -------- d-----w- C:\UsbFix

2010-03-30 19:59 . 2010-03-30 19:59 -------- d-----w- c:\documents and settings\All Users\Application Data\open-config

2010-03-30 17:49 . 2010-02-25 06:17 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll

2010-03-30 17:49 . 2010-02-25 06:17 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll

2010-03-30 17:49 . 2010-02-25 06:17 1985536 ------w- c:\windows\system32\dllcache\iertutil.dll

2010-03-30 17:49 . 2010-02-25 06:17 12800 ------w- c:\windows\system32\dllcache\xpshims.dll

2010-03-30 17:49 . 2010-02-25 06:17 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll

2010-03-29 12:11 . 2010-03-29 12:11 -------- d-sh--w- c:\documents and settings\Administrateur.ACER-86ABAAF10A\IETldCache

2010-03-29 08:24 . 2010-03-29 08:24 -------- d-----w- c:\program files\trend micro

2010-03-29 08:24 . 2010-03-29 08:24 -------- d-----w- C:\rsit

2010-03-29 08:04 . 2010-03-29 08:04 -------- d-----w- c:\documents and settings\will\Local Settings\Application Data\Temp

2010-03-29 07:50 . 2010-03-29 07:50 -------- d-----w- c:\program files\ZHPDiag

2010-03-29 06:40 . 2010-03-29 06:40 -------- d-sh--w- c:\documents and settings\will\IECompatCache

2010-03-29 06:39 . 2010-03-29 06:39 -------- d-sh--w- c:\documents and settings\will\PrivacIE

2010-03-29 06:36 . 2010-03-29 06:36 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2010-03-29 06:34 . 2010-03-29 06:34 -------- d-sh--w- c:\documents and settings\will\IETldCache

2010-03-29 06:34 . 2010-03-29 06:34 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-03-29 06:26 . 2010-03-29 06:26 -------- d--h--w- c:\windows\ie8

2010-03-29 06:26 . 2010-03-29 06:26 -------- d-----w- c:\windows\system32\fr-FR

2010-03-29 05:59 . 2010-03-29 05:59 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

2010-03-29 05:15 . 2010-03-29 05:15 -------- d-----w- c:\program files\VS Revo Group

2010-03-29 04:35 . 2010-03-29 04:35 -------- d-----w- c:\windows\system32\LogFiles

2010-03-29 04:34 . 2010-03-09 02:28 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-03-29 04:15 . 2010-03-29 04:15 -------- d-----w- c:\program files\microsoft frontpage

2010-03-29 03:52 . 2010-03-29 03:52 -------- d-----w- c:\documents and settings\Administrateur.ACER-86ABAAF10A\Application Data\DivX

2010-03-29 02:20 . 2010-03-29 02:20 -------- d-----w- c:\documents and settings\TEMP.ACER-86ABAAF10A.001

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-01 21:08 . 2004-09-20 09:34 12 ----a-w- c:\windows\bthservsdp.dat

2010-04-01 13:45 . 1979-12-31 22:00 72556 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-01 13:45 . 1979-12-31 22:00 460436 ----a-w- c:\windows\system32\perfh00C.dat

2010-03-31 12:27 . 2007-04-18 00:05 312847 ----a-w- c:\windows\system32\fdbbcebe.dll

2010-02-25 06:17 . 1979-12-31 22:00 916480 ----a-w- c:\windows\system32\wininet.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-12 68856]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 98304]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 532480]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 110592]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-02-10 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-02-10 118784]

"EPM-DM"="c:\acer\epm\epm-dm.exe" [2004-07-14 151552]

"ePowerManagement"="c:\acer\ePM\ePM.exe" [2004-09-01 2876416]

"LManager"="c:\program files\Launch Manager\QtZgAcer.EXE" [2004-07-30 319488]

"YeppStudioAgent"="c:\program files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe" [2005-09-12 40960]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"Agent"="d:\vcr ii\Agent.exe" [2002-10-01 94208]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Sitecom Wireless Utility.lnk - c:\program files\Sitecom\Common\WLANUtil.exe [2008-8-21 679936]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fdbbcebe]

2010-03-31 12:27 312847 ----a-w- c:\windows\system32\fdbbcebe.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft;c:\windows\system32\drivers\smbhc.sys [20/09/2004 11:11 6784]

R3 SMBBATT;Pilote de batterie intelligente Microsoft;c:\windows\system32\drivers\smbbatt.sys [20/09/2004 11:12 16128]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29/03/2010 7:25 135664]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [10/05/2008 18:41 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [10/05/2008 18:42 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [10/05/2008 18:42 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [10/05/2008 18:42 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [10/05/2008 18:42 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [10/05/2008 18:42 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [10/05/2008 18:42 97704]

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 13:42]

 

2010-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-29 05:25]

 

2010-04-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-29 05:25]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.be/

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-01 23:11

Windows 5.1.2600 Service Pack 2 FAT NTAPI

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(620)

c:\windows\system32\fdbbcebe.dll

 

- - - - - - - > 'explorer.exe'(452)

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\acer\eManager\anbmServ.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\rundll32.exe

c:\program files\Fichiers communs\Teleca Shared\Generic.exe

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

.

**************************************************************************

.

Heure de fin: 2010-04-01 23:15:58 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-04-01 21:15

ComboFix2.txt 2010-04-01 20:37

ComboFix3.txt 2010-03-29 04:29

 

Avant-CF: 216.932.352 octets libres

Après-CF: 184.758.272 octets libres

 

- - End Of File - - 5236F1E808CC6004495477D275926EAF

 

 

Voilà Pear, mais toujours pas moyen malheureusement d'installer Mbam.

Il en reste...

Merci pour vos aides.