Infection d'une version de tdss : backdoor.tdss.565 [RESOLU]

Bolo · le 9 avril 2010

Bonsoir,

Après de multiples recherches et essais pour me débrouiller seul sans importuner quiconque je me rends compte que je n'arrive pas à éradiquer cette infection.

Je l'ai détectée grâce à un scan avec MBAM (de routine 1 fois/semaine):

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

Version de la base de données: 3969

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

08/04/2010 21:38:18

mbam-log-2010-04-08 (21-38-18).txt

Type d'examen: Examen complet (C:\|D:\|T:\|)

Elément(s) analysé(s): 190027

Temps écoulé: 32 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

C:\WINDOWS\system32\winfjt32.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winfjt32 (Trojan.Dialer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Documents and Settings\Admin\Local Settings\Temp\9D5.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\9D6.tmp (Malware.Packer.Gen) -> Delete on reboot.

C:\WINDOWS\system32\winfjt32.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\ (Trojan.Dialer) -> Quarantined and deleted successfully.

donc dans la foulée j'ai fais un scan avec AVG qui n'a rien détecté

J'ai préféré "assurer" en faisant un scan avec Dr Web Cure It qui m'a trouvé un processus actif qu'il a mentionné comme éradiqué, le fameux backdoor.tdss.565, j'ai fait quelques recherches et il est apparu qu'il est coriace celui-là et récent de surcroit.

je redemarre la "bête", utilise tdss_remover_latest qui trouce une clef de registre cachée qu'il supprime, je reboote

je lance tdsskiller et il trouve que atapi.sys est infecté (seulement lui) et qu'il supprimera après un reboot, je reboot

je rescanne avec Dr Web et il le trouve encore!

je relance tdsskiller et lui aussi le trouve dans l'atapi.sys (et toujours uniquement là)

dans le doute j'ai refait un scan rapide avec MBAM qui ne trouve rien:

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

Version de la base de données: 3970

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

09/04/2010 01:29:33

mbam-log-2010-04-09 (01-29-33).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 100529

Temps écoulé: 3 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Ne sachant plus que faire j'ai fais un scan Hijack et vous le poste en vous demandant bien humblement ce que je pourrais faire pour me débarrasser de ça et je vous remercie d'avance:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:33:34, on 09/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ZoneAlarm\zlclient.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\WinPatrol\winpatrol.exe

C:\Program Files\Razer\Diamondback 3G\razerhid.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\TrueCrypt\TrueCrypt.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Wallpaper\Wallpaper.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\BlueSoleil\BTNtService.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\AVG\AVG8\avgcsrvx.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Razer\Diamondback 3G\razertra.exe

C:\Program Files\Razer\Diamondback 3G\razerofa.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\PROGRA~1\INCRED~1\bin\IncMail.exe

C:\Program Files\Mozilla Firefox\firefox.exe

d:\Temporaire\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [GEST] m’|\ü

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [MySight 2006 BS Check&Random] C:\Program Files\MySight 2006\quickbs.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\WinPatrol\winpatrol.exe -expressboot

O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKCU\..\Run: [TrueCrypt] "C:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\BlueSoleil\BTNtService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 8329 bytes

Modifié le 11 avril 2010 par Bolo

Bolo · le 9 avril 2010

Bon en tout cas ça n'a pas l'air de se propager, quand je ne suis pas devant le PC je bloque l'activité internet avec Zonealarm et jai fais un scan avec MBAM qui ne trouve rien:

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

Version de la base de données: 3970

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

09/04/2010 06:20:36

mbam-log-2010-04-09 (06-20-36).txt

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 169544

Temps écoulé: 30 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

par contre là pendant l'écritire de mon post j'ai un onglet de pub qui s'est affiché.

pear · le 9 avril 2010

Bonjour,

Savez vous ce qu'est ceci:

O4 - HKLM\..\Run: [GEST] m’|\ü

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Vous avez téléchargé Combofix.

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Modifié le 9 avril 2010 par pear

Bolo · le 9 avril 2010

Bonjour,

non, moi aussi la ligne O4 - HKLM\..\Run: [GEST] m’|\ü m'a semblée étrange, je ne sais pas du tout ce que c'est.

j'ai suivi l'ensemble des indications, lorsque Combofix m'a indiqué qu'il devait rebooter j'ai cliqué sur OK mais il n'a pas redémarré; j'ai tenté via le gestionnaire des tâches en l'appelant via ctrl+alt+supr toujours sans succès.

J'ai donc appuyé sur le "reset" de l'UC, après le reboot, Combofix s'est remis à analyser et afficher différents étapes:1,2,3,4,5,6,6A,etc...48

il a indiqué avoir supprimé 3 fichiers puis redémarrer le système

Après le reboot il a affiché être en train de préparer le compte-rendu.

Un raccourcis d'internet explorer est apparu sur le bureau.

A la fin de combofix Winpatrol a détecté la modification du fichier hosts dans driver, je l'ai autorisé, il a demandé 2 fois si je voulais modifier la page de émarage de IE, j'ai refusé

j'ai supprimé le raccourcis de IE, j'ai réactivé le bouclier d' AVG, je poste le rapport ci-dessous et j'ai rebloqué le traffic internet avec Zonealarm, je me reconnecterais dans quelques heures pour la suite.

encore merci

ComboFix 10-04-08.02 - Admin 09/04/2010 15:03:41.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3326.2819 [GMT 2:00]

Lancé depuis: c:\documents and settings\Admin\Bureau\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\Ijl11.dll

c:\windows\system32\reboot.txt

c:\windows\system32\SIntf16.dll

c:\windows\system32\drivers\tsk5.tmp . . . est infecté!!

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ZWUNZI_SERVICE

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-09 au 2010-04-09 ))))))))))))))))))))))))))))))))))))

.

2010-04-08 23:21 . 2010-04-08 23:21 -------- d-----w- C:\tdsskiller

2010-04-08 23:03 . 2010-04-09 06:11 50176 ----a-w- c:\windows\system32\drivers\rk_remover.sys

2010-04-08 19:46 . 2010-04-08 19:46 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2010-04-05 18:04 . 2010-04-05 18:04 -------- d-----w- c:\program files\VirtualDub-1.9.8

2010-03-27 16:40 . 2010-03-27 16:40 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI

2010-03-27 16:33 . 2010-03-27 16:33 -------- d-----w- C:\ATI

2010-03-27 11:14 . 2004-08-19 16:09 221184 ----a-w- c:\windows\system32\wmpns.dll

2010-03-27 11:13 . 2010-03-27 11:13 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2010-03-27 10:59 . 2008-04-13 18:33 4255 ------w- c:\windows\system32\drivers\adv01nt5.dll

2010-03-26 13:52 . 2005-07-26 12:43 5632 ----a-w- c:\windows\system32\ptpusb.dll

2010-03-26 13:52 . 2005-07-26 12:44 159232 ----a-w- c:\windows\system32\ptpusd.dll

2010-03-25 13:53 . 2010-03-25 13:53 -------- d-----w- c:\documents and settings\Admin\Application Data\Publish Providers

2010-03-19 19:35 . 2010-03-19 19:35 -------- d-----w- c:\documents and settings\Admin\Application Data\Canneverbe Limited

2010-03-19 19:34 . 2010-03-19 19:34 1542144 ----a-w- c:\windows\is-FJJM2.exe

2010-03-17 21:02 . 2010-03-17 21:02 4096 ----a-w- c:\windows\d3dx.dat

2010-03-17 20:55 . 2010-03-17 21:19 -------- d-----w- c:\program files\Ground Control

2010-03-17 20:55 . 1999-02-09 13:33 401484 ------w- c:\windows\system32\Msvcrtd.dll

2010-03-17 16:42 . 2010-03-17 21:30 -------- d-----w- c:\program files\Homeworld2

2010-03-17 16:04 . 2010-03-17 16:04 -------- d-----w- c:\program files\Sierra

2010-03-12 12:41 . 2010-03-12 12:41 -------- d-----w- c:\program files\Ogg Codecs

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-09 13:01 . 2004-08-03 22:59 96512 ----a-w- c:\windows\system32\drivers\atapi.sys

2010-04-09 12:53 . 2010-04-09 12:53 96512 ----a-w- c:\windows\system32\drivers\tsk5.tmp

2010-04-08 20:23 . 2009-09-09 11:36 -------- d-----w- c:\program files\Spider Player

2010-04-08 20:20 . 2009-09-09 09:59 -------- d-----w- c:\program files\KeePass

2010-04-08 20:05 . 2010-01-30 15:36 -------- d-----w- c:\program files\adslTV

2010-04-08 19:40 . 2009-09-11 05:21 24741810 ----a-w- c:\windows\Internet Logs\tvDebug.Zip

2010-04-08 15:02 . 2009-09-09 09:22 -------- d-----w- c:\program files\CCleaner

2010-04-05 18:16 . 2009-09-09 09:50 -------- d-----w- c:\program files\Free Video Converter

2010-04-05 06:49 . 2009-09-10 09:08 -------- d-----w- c:\documents and settings\Admin\Application Data\Audacity

2010-04-04 16:43 . 2009-10-15 18:37 -------- d-----w- c:\program files\Malwarebytes

2010-04-04 08:00 . 2010-01-02 15:09 5918776 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2010-04-03 19:09 . 2009-09-09 09:23 -------- d-----w- c:\program files\CDBurnerXP

2010-04-02 11:10 . 2009-09-09 09:41 1 ----a-w- c:\documents and settings\Admin\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-04-02 06:53 . 2009-09-11 08:17 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2010-04-02 06:52 . 2009-09-09 13:27 -------- d-----w- c:\program files\SpywareBlaster

2010-04-01 15:21 . 2009-09-09 10:51 -------- d-----w- c:\program files\Sony Vegas 7.0

2010-04-01 13:47 . 2009-09-09 09:28 -------- d-----w- c:\program files\FairUse Wizard 2

2010-03-29 22:46 . 2009-10-15 18:37 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-29 22:45 . 2009-10-15 18:37 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-29 08:08 . 2010-02-17 09:58 -------- d-----w- c:\program files\CSI Miami

2010-03-29 08:06 . 2001-10-02 18:17 88432 ----a-w- c:\windows\system32\perfc00C.dat

2010-03-29 08:06 . 2001-10-02 18:17 518730 ----a-w- c:\windows\system32\perfh00C.dat

2010-03-28 18:21 . 2009-09-30 17:13 -------- d-----w- c:\documents and settings\Admin\Application Data\VSO

2010-03-28 10:25 . 2010-01-02 16:59 21840 ----atw- c:\windows\system32\SIntfNT.dll

2010-03-28 10:25 . 2010-01-02 16:59 17212 ----atw- c:\windows\system32\SIntf32.dll

2010-03-27 16:37 . 2009-09-09 08:19 -------- d-----w- c:\program files\ATI Technologies

2010-03-27 11:17 . 2009-09-09 09:39 2287616 ----a-w- c:\windows\system32\mysight.exe

2010-03-27 11:15 . 2009-09-09 08:21 272760 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-27 11:03 . 2009-09-09 08:10 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-03-26 16:22 . 2009-09-09 11:11 -------- d-----w- c:\program files\notepad2

2010-03-26 11:19 . 2009-09-09 09:28 -------- d-----w- c:\documents and settings\Admin\Application Data\FileZilla

2010-03-25 17:24 . 2009-09-09 09:42 -------- d-----w- c:\program files\PhotoFiltre

2010-03-18 13:33 . 2009-09-29 20:51 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll

2010-03-15 16:53 . 2010-03-15 16:55 2254336 ----a-w- c:\windows\Internet Logs\xDB1.tmp

2010-03-09 07:17 . 2010-02-28 09:11 -------- d-----w- c:\program files\USB-set

2010-02-28 10:14 . 2010-02-28 10:14 -------- d-----w- c:\program files\MSN BackUp

2010-02-28 09:31 . 2009-09-09 11:04 -------- d-----w- c:\program files\Defraggler

2010-02-27 06:53 . 2009-09-09 10:06 -------- d-----w- c:\program files\Xtremsplit

2010-02-25 06:17 . 2005-10-12 10:25 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-22 21:18 . 2009-12-17 07:02 -------- d-----w- c:\program files\UltraISO

2010-02-18 12:30 . 2009-09-09 08:19 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-02-17 10:14 . 2010-02-17 10:14 -------- d-----w- c:\program files\Ubisoft

2010-02-16 18:24 . 2010-02-16 18:24 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield

2010-02-16 18:20 . 2009-09-09 08:19 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2010-02-15 08:44 . 2009-09-09 09:51 -------- d-----w- c:\documents and settings\Admin\Application Data\Vidalia

2010-02-15 08:40 . 2009-09-09 10:20 -------- d-----w- c:\documents and settings\Admin\Application Data\tor

2010-02-15 07:45 . 2010-02-15 07:42 -------- d-----w- c:\documents and settings\Admin\Application Data\Wallpaper

2010-02-15 07:42 . 2010-02-15 07:42 -------- d-----w- c:\program files\Wallpaper

2010-02-14 14:28 . 2009-11-13 21:01 98304 ----a-w- c:\windows\system32\CmdLineExt.dll

2010-02-11 07:38 . 2008-05-12 16:30 3565056 ----a-w- c:\windows\system32\drivers\ati2mtag.sys

2010-02-11 05:17 . 2008-05-12 15:05 11845632 ----a-w- c:\windows\system32\atioglxx.dll

2010-02-11 05:07 . 2009-09-09 08:20 307200 ----a-w- c:\windows\system32\atiiiexx.dll

2010-02-11 04:46 . 2009-09-09 08:20 442368 ----a-w- c:\windows\system32\ATIDEMGX.dll

2010-02-11 04:45 . 2008-05-12 15:54 325120 ----a-w- c:\windows\system32\ati2dvag.dll

2010-02-11 04:37 . 2008-05-12 15:02 290816 ----a-w- c:\windows\system32\atiok3x2.dll

2010-02-11 04:36 . 2008-05-12 15:45 204800 ----a-w- c:\windows\system32\atipdlxx.dll

2010-02-11 04:35 . 2008-05-12 15:45 155648 ----a-w- c:\windows\system32\Oemdspif.dll

2010-02-11 04:35 . 2008-05-12 15:45 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe

2010-02-11 04:35 . 2008-05-12 15:45 43520 ----a-w- c:\windows\system32\ati2edxx.dll

2010-02-11 04:35 . 2008-05-12 15:44 155648 ----a-w- c:\windows\system32\ati2evxx.dll

2010-02-11 04:33 . 2008-05-12 15:43 602112 ----a-w- c:\windows\system32\ati2evxx.exe

2010-02-11 04:32 . 2008-05-12 15:41 53248 ----a-w- c:\windows\system32\ATIDDC.DLL

2010-02-11 04:25 . 2008-05-12 15:32 3818144 ----a-w- c:\windows\system32\ati3duag.dll

2010-02-11 04:23 . 2010-02-11 04:23 45056 ----a-w- c:\windows\system32\aticalrt.dll

2010-02-11 04:22 . 2010-02-11 04:22 45056 ----a-w- c:\windows\system32\aticalcl.dll

2010-02-11 04:21 . 2010-02-11 04:21 3227648 ----a-w- c:\windows\system32\aticaldd.dll

2010-02-11 04:19 . 2008-05-12 15:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll

2010-02-11 04:12 . 2008-05-12 15:22 2670592 ----a-w- c:\windows\system32\ativvaxx.dll

2010-02-11 04:12 . 2009-09-09 08:20 887724 ----a-w- c:\windows\system32\ativva6x.dat

2010-02-11 04:12 . 2009-09-09 08:20 3107788 ----a-w- c:\windows\system32\ativva5x.dat

2010-02-11 03:59 . 2008-05-12 15:09 49664 ----a-w- c:\windows\system32\amdpcom32.dll

2010-02-11 03:55 . 2008-05-12 15:05 475136 ----a-w- c:\windows\system32\atikvmag.dll

2010-02-11 03:54 . 2008-05-12 15:03 126976 ----a-w- c:\windows\system32\atiadlxx.dll

2010-02-11 03:53 . 2008-05-12 15:03 17408 ----a-w- c:\windows\system32\atitvo32.dll

2010-02-11 03:47 . 2008-05-12 14:57 626688 ----a-w- c:\windows\system32\ati2cqag.dll

2010-02-10 20:20 . 2009-09-09 08:20 593920 ------w- c:\windows\system32\ati2sgag.exe

2010-01-16 08:53 . 2010-01-16 08:53 0 ----a-w- c:\windows\nsreg.dat

2010-01-09 16:34 . 2010-01-09 16:34 1542144 ----a-w- c:\windows\is-6O0QJ.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2009-10-23 1412552]

"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2005-08-03 188459]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

"Wallpaper"="c:\program files\Wallpaper\Wallpaper.exe" [2007-08-20 233472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GEST"="m’|\ü" [X]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2010-03-19 2046816]

"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]

"ZoneAlarm Client"="c:\program files\ZoneAlarm\zlclient.exe" [2009-02-15 981384]

"MySight 2006 BS Check&Random"="c:\program files\MySight 2006\quickbs.exe" [2009-09-09 409088]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-09-09 90112]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-16 149280]

"WinPatrol"="c:\program files\WinPatrol\winpatrol.exe" [2009-07-27 341312]

"Diamondback"="c:\program files\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 147456]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"Config"="c:\windows\system32\run.cmd" [2005-08-23 341]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMyMusic"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMyMusic"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-09-09 08:35 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IMApp.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\BlueSoleil\\BlueSoleil.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [09/04/2010 01:03 50176]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [09/09/2009 10:35 335240]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [09/09/2009 10:35 108552]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [09/09/2009 10:35 908056]

R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [09/09/2009 10:35 297752]

R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [14/10/2009 16:43 13225]

R3 VMC322;Vimicro Camera Service VMC322;c:\windows\system32\drivers\VMC322.sys [06/11/2009 11:51 232320]

R3 vvftC322;Vimicro Camera Filter Service VMC322;c:\windows\system32\drivers\vvftC322.sys [06/11/2009 11:51 476544]

S3 oflpydin;oflpydin;\??\c:\docume~1\Admin\LOCALS~1\Temp\oflpydin.sys --> c:\docume~1\Admin\LOCALS~1\Temp\oflpydin.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr

uSearch Page = hxxp://www.google.fr

uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/

uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s

IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\bin\resources\WebMenuImg.htm

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\8jjezjpp.default\

FF - prefs.js: keyword.URL - hxxp://fr.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_fr&p=

FF - component: c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\8jjezjpp.default\extensions\piclens@cooliris.com\components\coolirisstub.dll

FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll

FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll

FF - plugin: c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\8jjezjpp.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-klmdb.sys

AddRemove-{E2883E8F-472F-4fb0-9522-AC9BF37916A7} - c:\program files\NOS\bin\getPlus_Helper.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-09 15:13

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: MYSIGHT.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8AD14AC8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf74dbf28

\Driver\ACPI -> ACPI.sys @ 0xf743dcb8

\Driver\atapi -> tsk5.tmp @ 0xf73cf852

IoDeviceObjectType -> DeleteProcedure -> MYSIGHT.EXE @ 0x805e668e

ParseProcedure -> MYSIGHT.EXE @ 0x8057b6b1

\Device\Harddisk0\DR0 -> DeleteProcedure -> MYSIGHT.EXE @ 0x805e668e

ParseProcedure -> MYSIGHT.EXE @ 0x8057b6b1

user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\atapi]

"ImagePath"="system32\drivers\tsk5.tmp"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1280)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3500)

c:\program files\WinPatrol\PATROLPRO.DLL

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe

c:\program files\BlueSoleil\BTNtService.exe

c:\progra~1\AVG\AVG8\avgrsx.exe

c:\progra~1\AVG\AVG8\avgnsx.exe

c:\windows\system32\dllhost.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\wdfmgr.exe

c:\program files\AVG\AVG8\avgcsrvx.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\rundll32.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\progra~1\INCRED~1\bin\IMApp.exe

c:\program files\Razer\Diamondback 3G\razertra.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

c:\program files\Razer\Diamondback 3G\razerofa.exe

c:\program files\Windows Live\Contacts\wlcomm.exe

.

**************************************************************************

.

Heure de fin: 2010-04-09 15:17:28 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-04-09 13:17

Avant-CF: 38 523 916 288 octets libres

Après-CF: 38 533 251 072 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="pirated" /noexecute=optin /fastdetect /kernel=mysight.exe

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

[boot loader]

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

timeout=2

- - End Of File - - 6035C45B69B087D6FD402ACFEC752193

Bolo · le 9 avril 2010

WinPatrol a encore détecté cette demande , je ne sais pas si ça a un rapport...j'ai à nouveau cliqué "non" mais si ça revient tous les 15 minutes ça va rapidement me déranger...

Bolo · le 9 avril 2010

j'ai pu me faire prêter un pc portable pour rester connecté plus facilement sur le forum.

en attendant j'ai tenté une detection par Dr Web Cure It, il trouve toujours Backdoor.tdss.565 en actif.

J'ai alors lancé tdsskiller, il le trouve dans le fameux tsk5.tmp et propose de le supprimer au reboot mais comme avec le fichier atapi.sys précédement après le reboot, même résultat, le rootkit est toujours là.

il est coriace !

pear · le 9 avril 2010

Bonsoir,

Je vous rappelle que la procédure Combofix exige que les protections Antivirus soient désactivées.

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

c:\windows\is-6O0QJ.exe

c:\windows\is-FJJM2.exe

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Driver::

rk_remover

tsk5

File::

c:\windows\system32\drivers\rk_remover.sys

c:\windows\system32\drivers\tsk5.tmp

c:\windows\system32\SIntfNT.dll

c:\windows\system32\SIntf32.dll

c:\docume~1\Admin\LOCALS~1\Temp\oflpydin.sys

Rootkit::

oflpydin.sys

tsk5.tmp

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GEST"=-

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 9 avril 2010 par pear

Bolo · le 9 avril 2010

bonsoir,

fichiers envoyés, il présentent l'icone de CDBurner Xp pour information, un utilitaire gratuit de gravure de CD/DVD

Fichier is-6O0QJ.exe reçu le 2010.04.09 18:20:10 (UTC)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/39 (0%)

en train de charger les informations du serveur...

Votre fichier est dans la file d'attente, en position: 5.

L'heure estimée de démarrage est entre 70 et 100 secondes.

Ne fermez pas la fenêtre avant la fin de l'analyse.

L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.

Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,

les résultats seront affichés au fur et à mesure de leur génération.

Formaté Formaté

Impression des résultats Impression des résultats

Votre fichier a expiré ou n'existe pas.

Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.

Email:

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.04.09 -

AhnLab-V3 5.0.0.2 2010.04.09 -

AntiVir 7.10.6.55 2010.04.09 -

Antiy-AVL 2.0.3.7 2010.04.09 -

Authentium 5.2.0.5 2010.04.09 -

Avast 4.8.1351.0 2010.04.09 -

Avast5 5.0.332.0 2010.04.09 -

AVG 9.0.0.787 2010.04.09 -

BitDefender 7.2 2010.04.09 -

CAT-QuickHeal 10.00 2010.04.09 -

ClamAV 0.96.0.3-git 2010.04.09 -

Comodo 4549 2010.04.09 -

DrWeb 5.0.2.03300 2010.04.09 -

eSafe 7.0.17.0 2010.04.08 -

eTrust-Vet 35.2.7418 2010.04.09 -

F-Prot 4.5.1.85 2010.04.09 -

F-Secure 9.0.15370.0 2010.04.09 -

Fortinet 4.0.14.0 2010.04.08 -

GData 19 2010.04.09 -

Ikarus T3.1.1.80.0 2010.04.09 -

Jiangmin 13.0.900 2010.04.09 -

Kaspersky 7.0.0.125 2010.04.09 -

McAfee-GW-Edition 6.8.5 2010.04.09 -

Microsoft 1.5605 2010.04.09 -

NOD32 5014 2010.04.09 -

Norman 6.04.11 2010.04.09 -

nProtect 2009.1.8.0 2010.04.06 -

Panda 10.0.2.2 2010.04.09 -

PCTools 7.0.3.5 2010.04.09 -

Prevx 3.0 2010.04.09 -

Rising 22.42.04.03 2010.04.09 -

Sophos 4.52.0 2010.04.09 -

Sunbelt 6156 2010.04.09 -

Symantec 20091.2.0.41 2010.04.09 -

TheHacker 6.5.2.0.258 2010.04.09 -

TrendMicro 9.120.0.1004 2010.04.09 -

VBA32 3.12.12.4 2010.04.09 -

ViRobot 2010.4.9.2269 2010.04.09 -

VirusBuster 5.0.27.0 2010.04.09 -

Information additionnelle

File size: 1542144 bytes

MD5...: f319315b6c138fdc8d39282606c17e70

SHA1..: 24cf48066878095102d7068ad3fa442e91d193e1

SHA256: d24d88a0878c9ce7d99515283b5affb0c86e1898d643017ea845a219b1a0de52

ssdeep: 24576:zOlc2oOjSrX6F9204jf7oOJd9eZEdRapWhmAMJ8vDjWe/Y/L5x94x:JcSo

O7wWhBGvk

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0xf9e20

timedatestamp.....: 0x4b445e49 (Wed Jan 06 09:56:25 2010)

machinetype.......: 0x14c (I386)

( 9 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xf78ac 0xf7a00 6.48 01b2f66b398894a6f143790a84981ffb

.itext 0xf9000 0x1010 0x1200 5.71 6bcd00cd949a92261a05047b55e7777a

.data 0xfb000 0x2f14 0x3000 4.33 b14be6498e994755a4cd918389e4a217

.bss 0xfe000 0x607c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.idata 0x105000 0x3790 0x3800 5.07 14da4ebc0db35ebfbc269345e930460f

.tls 0x109000 0x3c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x10a000 0x18 0x200 0.21 026d019357204bb2cd4cb2481d31cc45

.reloc 0x10b000 0xfc7c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x11b000 0x78de0 0x78e00 4.75 f53f98f51a02e99fed87e37c27ebd928

( 23 imports )

> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen

> advapi32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey

> user32.dll: GetKeyboardType, LoadStringW, MessageBoxA, CharNextW

> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetSystemInfo, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryW, MultiByteToWideChar, lstrlenW, lstrcpynW, LoadLibraryExW, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleW, GetModuleFileNameW, GetLocaleInfoW, GetCurrentDirectoryW, GetCommandLineW, FreeLibrary, FindFirstFileW, FindClose, ExitProcess, ExitThread, CreateThread, CompareStringW, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, CloseHandle

> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleW

> user32.dll: CreateWindowExW, WindowFromPoint, WaitMessage, WaitForInputIdle, UpdateWindow, UnregisterClassW, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoW, ShowWindow, ShowScrollBar, ShowOwnedPopups, SetWindowsHookExW, SetWindowTextW, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRectEmpty, SetRect, SetPropW, SetParent, SetMenuItemInfoW, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongW, SetCapture, SetActiveWindow, SendNotifyMessageW, SendMessageTimeoutW, SendMessageA, SendMessageW, ScrollWindowEx, ScrollWindow, ScreenToClient, ReplyMessage, RemovePropW, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageW, RegisterClipboardFormatW, RegisterClassW, RedrawWindow, PtInRect, PostQuitMessage, PostMessageW, PeekMessageA, PeekMessageW, OffsetRect, OemToCharBuffA, MsgWaitForMultipleObjectsEx, MsgWaitForMultipleObjects, MessageBoxW, MessageBeep, MapWindowPoints, MapVirtualKeyW, LoadStringW, LoadKeyboardLayoutW, LoadIconW, LoadCursorW, LoadBitmapW, KillTimer, IsZoomed, IsWindowVisible, IsWindowUnicode, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsDialogMessageW, IsChild, InvalidateRect, IntersectRect, InsertMenuItemW, InsertMenuW, InflateRect, GetWindowThreadProcessId, GetWindowTextW, GetWindowRect, GetWindowPlacement, GetWindowLongW, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropW, GetParent, GetWindow, GetMessagePos, GetMessageW, GetMenuStringW, GetMenuState, GetMenuItemInfoW, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutNameW, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextW, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassLongW, GetClassInfoW, GetCapture, GetActiveWindow, FrameRect, FindWindowExW, FindWindowW, FillRect, ExitWindowsEx, EnumWindows, EnumThreadWindows, EnumChildWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextExW, DrawTextW, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DispatchMessageW, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcW, DefMDIChildProcW, DefFrameProcW, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CharUpperBuffW, CharNextW, CharLowerBuffW, CharLowerW, CallWindowProcW, CallNextHookEx, BringWindowToTop, BeginPaint, AppendMenuW, CharToOemBuffA, AdjustWindowRectEx, ActivateKeyboardLayout

> msimg32.dll: AlphaBlend

> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RoundRect, RestoreDC, RemoveFontResourceW, Rectangle, RectVisible, RealizePalette, Polyline, Pie, PatBlt, MoveToEx, MaskBlt, LineTo, LineDDA, IntersectClipRect, GetWindowOrgEx, GetTextMetricsW, GetTextExtentPointW, GetTextExtentPoint32W, GetSystemPaletteEntries, GetStockObject, GetRgnBox, GetPixel, GetPaletteEntries, GetObjectW, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, FrameRgn, ExtTextOutW, ExtFloodFill, ExcludeClipRect, EnumFontsW, Ellipse, DeleteObject, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectW, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, Chord, BitBlt, Arc, AddFontResourceW

> version.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW

> mpr.dll: WNetOpenEnumW, WNetGetUniversalNameW, WNetGetConnectionW, WNetEnumResourceW, WNetCloseEnum

> kernel32.dll: lstrcpyW, lstrcmpW, WriteProfileStringW, WritePrivateProfileStringW, WriteFile, WideCharToMultiByte, WaitForSingleObject, WaitForMultipleObjectsEx, VirtualQueryEx, VirtualQuery, VirtualFree, VirtualAlloc, TransactNamedPipe, TerminateProcess, SwitchToThread, SizeofResource, SignalObjectAndWait, SetThreadLocale, SetNamedPipeHandleState, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesW, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryW, ResumeThread, ResetEvent, RemoveDirectoryW, ReleaseMutex, ReadFile, QueryPerformanceCounter, OpenProcess, OpenMutexW, MultiByteToWideChar, MulDiv, MoveFileExW, MoveFileW, LockResource, LocalFree, LocalFileTimeToFileTime, LoadResource, LoadLibraryExA, LoadLibraryA, LoadLibraryW, LeaveCriticalSection, IsDBCSLeadByte, IsBadWritePtr, InitializeCriticalSection, GlobalFindAtomW, GlobalDeleteAtom, GlobalAddAtomW, GetWindowsDirectoryW, GetVersionExW, GetVersion, GetUserDefaultLangID, GetTickCount, GetThreadLocale, GetSystemTimeAsFileTime, GetSystemInfo, GetSystemDirectoryW, GetStdHandle, GetShortPathNameW, GetProfileStringW, GetProcAddress, GetPrivateProfileStringW, GetOverlappedResult, GetModuleHandleW, GetModuleFileNameW, GetLogicalDrives, GetLocaleInfoW, GetLocalTime, GetLastError, GetFullPathNameW, GetFileSize, GetFileAttributesW, GetExitCodeThread, GetExitCodeProcess, GetEnvironmentVariableW, GetDriveTypeW, GetDiskFreeSpaceW, GetDateFormatW, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetComputerNameW, GetCommandLineW, GetCPInfo, FreeResource, InterlockedIncrement, InterlockedExchangeAdd, InterlockedExchange, InterlockedDecrement, InterlockedCompareExchange, FreeLibrary, FormatMessageW, FlushFileBuffers, FindResourceW, FindNextFileW, FindFirstFileW, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, EnumCalendarInfoW, EnterCriticalSection, DeviceIoControl, DeleteFileW, DeleteCriticalSection, CreateThread, CreateProcessW, CreateNamedPipeW, CreateMutexW, CreateFileW, CreateEventW, CreateDirectoryW, CopyFileW, CompareStringW, CompareFileTime, CloseHandle

> advapi32.dll: RegSetValueExW, RegQueryValueExW, RegQueryInfoKeyW, RegOpenKeyExW, RegFlushKey, RegEnumValueW, RegEnumKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCreateKeyExW, RegCloseKey, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueW, GetUserNameW, GetTokenInformation, FreeSid, EqualSid, AllocateAndInitializeSid

> oleaut32.dll: GetErrorInfo, GetActiveObject, RegisterTypeLib, LoadTypeLib, SysFreeString

> ole32.dll: OleUninitialize, OleInitialize, CoTaskMemFree, CLSIDFromProgID, CLSIDFromString, StringFromCLSID, CoCreateInstance, CoFreeUnusedLibraries, CoUninitialize, CoInitialize, IsEqualGUID

> comctl32.dll: InitializeFlatSB, FlatSB_SetScrollProp, FlatSB_SetScrollPos, FlatSB_SetScrollInfo, FlatSB_GetScrollPos, FlatSB_GetScrollInfo, _TrackMouseEvent, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_Add, ImageList_SetImageCount, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls

> kernel32.dll: Sleep

> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayPutElement, SafeArrayGetElement, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopyInd, VariantCopy, VariantClear, VariantInit

> shell32.dll: ShellExecuteExW, ShellExecuteW, SHGetFileInfoW, ExtractIconW

> shell32.dll: SHGetPathFromIDListW, SHGetMalloc, SHChangeNotify, SHBrowseForFolderW

> comdlg32.dll: GetSaveFileNameW, GetOpenFileNameW

> ole32.dll: CoDisconnectObject

> advapi32.dll: AdjustTokenPrivileges

> oleaut32.dll: SysFreeString

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Windows OCX File (96.8%)

Generic Win/DOS Executable (1.5%)

DOS Executable Generic (1.5%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: Setup/Uninstall

original name: n/a

internal name: n/a

file version.: 51.1050.0.0

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

Bolo · le 9 avril 2010

Fichier is-FJJM2.exe reçu le 2010.04.09 18:21:53 (UTC)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/39 (0%)

en train de charger les informations du serveur...

Votre fichier est dans la file d'attente, en position: 2.

L'heure estimée de démarrage est entre 49 et 70 secondes.