Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Analyses de sécurité font planter mon système

thib1984

Par thib1984
dans Analyses et éradication malwares

 Partager

Messages recommandés

thib1984 Member

thib1984

Posté(e)
  • Auteur
Posté(e)

Bonsoir, et encore merci de votre aide précieuse...

 

Malheureusement les choses ne s'arrangent pas.

 

Le premier des deux softs (load_tdsskiller) ne trouve rien (invite de commande affiche 0 fichier infecté) mais, plus surprenant, le fichier log est vide Oo'. Le bloc notes s'affiche vide, rien dans C:\tdsskiller\report.txt (ce fichier n'existe même pas...)

 

Le deuxième soft (rkill.com) ne trouve rien non plsu mais me renvoie un fichier log en bon et du forme :P

 

 

*********************************************************

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as thib1984 on 13/04/2010 at 19:30:06.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Documents and Settings\thib1984\Bureau\rkill.com

 

 

Rkill completed on 13/04/2010 at 19:30:11.

**********************************************************

 

 

La désinstallation, installation scan de MBAM se finit comme d'habitude dorénavant (pc plus ou moins bloqué).

 

Nouvelle : quand je copie colle un grand lot de données (plusieurs milliers d'images), la copie s'arrete avec le message d'erreurs

"Ressources système insuffisantes pour terminer le service demandé" et les symptomes qui suivent sont les mêmes que d'habitude...

 

Merci encore de votre aide

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

Ce ne serait donc pas un tdss qui vous bloque Mbam.

Voyons si c'est un rootkit:

 

 

 

Télécharger gmer

 

- Cliquer sur le bouton "Download EXE"

- Sauvegardez sur le Bureau.

- Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les, car il faudra fermer le navigateur.

Avant toute utilisation de GMER, veuillez désactiver votre antivirus, antispyware sous peine de crash.

 

- Fermez les fenêtres de navigateur ouvertes.

- Lancez le fichier téléchargé par double clic(le nom comporte 8 chiffres/lettres aléatoires) ;

- Si l'outil lance un warning d'activité de rootkit et demande de faire un scan ; cliquez "NO"

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées les options suivantes :

Sections

Show All

gmer.jpg

- Cliquez sur le bouton "Scan" et patientez (cela peut prendre 10 minutes ou +)

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

 

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.

Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.

 

Pour supprimer:

Clic droit et faire l'action voulue selon le type de la colonne de gauche.

Delete the service si c'est un service

Delete File pour le reste

Collez le résultat dans un prochain message

thib1984 Member

thib1984

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

 

Voici le rapport. Je n'ai rien supprimé. Pas de rootkit, je crois. Je devais tout supprimer?

Par contre, le pc ne plante pas uniquement avec MBAM, mais aussi avec antivir, kaspersky removal tool, voir un transfert d'un grand lot de fichiers....

 

 

 

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-04-14 07:30:01

Windows 5.1.2600 Service Pack 3

Running: vzfxzluu.exe; Driver: E:\Temp\pwldrpoc.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.) ZwCreateKey [0xF73DD82E]

SSDT F7B9E24C ZwCreateThread

SSDT cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.) ZwDeleteKey [0xF73DE53A]

SSDT cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.) ZwDeleteValueKey [0xF73DDF4E]

SSDT F7B9E26A ZwLoadKey

SSDT cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.) ZwOpenKey [0xF73DDACC]

SSDT F7B9E238 ZwOpenProcess

SSDT F7B9E23D ZwOpenThread

SSDT cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.) ZwQueryValueKey [0xF73DDD52]

SSDT F7B9E274 ZwReplaceKey

SSDT F7B9E26F ZwRestoreKey

SSDT cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.) ZwSetValueKey [0xF73DE2CA]

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.)

AttachedDevice \FileSystem\Fastfat \Fat cfrmd.sys (COMODO Safe Delete Filter/COMODO Security Solutions Inc.)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- EOF - GMER 1.0.15 ----

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Non,il n'y avait rien à supprimer.

 

On continue les recherches:

Recherche Win32kDiag

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

Modifié par pear
thib1984 Member

thib1984

Posté(e)
  • Auteur
Posté(e)

Bonjour, et content de ne pas vous avoir découragé... Je garde espoir...

 

Voici le rapport (le warning n'indique rien de grave?)

 

 

***************************************************************

Running from: C:\Documents and Settings\thib1984\Bureau\Win32kDiag.exe

 

Log file at : C:\Documents and Settings\thib1984\Bureau\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\WINDOWS'...

 

 

 

 

 

Finished!

 

***************************************************************

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Tant mieux.

 

1)Démarrer->Exécuter

Copiez/Collez:

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v GlobalUserOffline /t REG_DWORD /d 0

 

Testez Mbam

2)Voir DaonolFix

DaonolFix

Modifié par pear
thib1984 Member

thib1984

Posté(e)
  • Auteur
Posté(e)

La première modif a été faite,

les analyses, transferts continuent à planter (pire les deux dernières se soldent pas une extinction de l'écran + reboot, sans que je ne le demande)

 

Voici le log de recherche de DanolFix

 

DaonolFix (15.04.09) by jpshortstuff

Log created at 12:39 on 14/04/2010 by thib1984

Running from C:\Documents and Settings\thib1984\Bureau\DaonolFix(2).exe

 

=====Find Daonol=====

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]

"aux"="wdmaud.drv"

"midi"="wdmaud.drv"

"midi1"="wdmaud.drv"

"midi2"="wdmaud.drv"

"midi3"="wdmaud.drv"

"midimapper"="midimap.dll"

"mixer"="wdmaud.drv"

"mixer1"="wdmaud.drv"

"mixer2"="wdmaud.drv"

"mixer3"="wdmaud.drv"

"msacm.iac2"="C:\WINDOWS\system32\iac25_32.ax"

"msacm.imaadpcm"="imaadp32.acm"

"msacm.l3acm"="C:\WINDOWS\system32\l3codeca.acm"

"msacm.msadpcm"="msadp32.acm"

"msacm.msaudio1"="msaud32.acm"

"msacm.msg711"="msg711.acm"

"msacm.msgsm610"="msgsm32.acm"

"msacm.sl_anet"="sl_anet.acm"

"msacm.trspch"="tssoft32.acm"

"MSVideo8"="VfWWDM32.dll"

"vidc.cvid"="iccvid.dll"

"VIDC.I420"="msh263.drv"

"vidc.iv31"="ir32_32.dll"

"vidc.iv32"="ir32_32.dll"

"vidc.iv41"="ir41_32.ax"

"vidc.iv50"="ir50_32.dll"

"VIDC.IYUV"="iyuv_32.dll"

"vidc.mrle"="msrle32.dll"

"vidc.msvc"="msvidc32.dll"

"VIDC.UYVY"="msyuv.dll"

"VIDC.YUY2"="msyuv.dll"

"VIDC.YVU9"="tsbyuv.dll"

"VIDC.YVYU"="msyuv.dll"

"wave"="wdmaud.drv"

"wave1"="wdmaud.drv"

"wave2"="wdmaud.drv"

"wave3"="wdmaud.drv"

"wavemapper"="msacm32.drv"

 

-=Daonol Files=-

(none found)

 

-=End Of File=-

pear Devil Member !

pear

Posté(e)
Posté(e)

On va appeler l'artillerie :P

Vous allez télécharger Combofix.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

animation2ko5.gif

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

thib1984 Member

thib1984

Posté(e)
  • Auteur
Posté(e) (modifié)

Le premier passage a été un demi-échec.

Au moment de la préparation du log, plusieurs messages d'erreurs.

L'application n'a pas réussi à s'initialiser correctement. Cliquez sur OK pour l'arreter (a propos des processus de combofix, puis de notepad)

 

Au démarrage suivant, antivir m'annonce qu'il a bloqué l'autorun.inf de mon disque C.

Le premier log de combofix me donne ceci, je décide de refaire un passage.

 

 

ComboFix 10-04-13.04 - thib1984 14/04/2010 13:50:40.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.422 [GMT 2:00]

Lancé depuis: c:\documents and settings\thib1984\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\Thumbs.db

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-14 au 2010-04-14 ))))))))))))))))))))))))))))))))))))

.

 

2010-04-13 21:39 . 2010-04-13 21:39 2157 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\omega.contacts.msn.com

2010-04-13 19:32 . 2010-04-13 19:32 2095 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\login.live.com

2010-04-13 17:31 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-13 17:31 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-13 11:18 . 2010-04-13 11:18 -------- d--h--w- c:\windows\PIF

2010-04-13 11:16 . 2010-04-13 17:29 -------- d-----w- C:\tdsskiller

2010-04-12 09:31 . 2010-04-12 17:12 35608 ----a-w- C:\UsbFix_Upload_Me_EEEPC1984.zip

2010-04-12 09:19 . 2010-04-12 09:19 -------- d-----w- c:\documents and settings\All Users\Application Data\open-config

2010-04-12 09:18 . 2010-04-12 17:12 -------- d-----w- C:\UsbFix

2010-04-11 19:40 . 2010-04-11 19:41 -------- d-----w- C:\rsit

2010-04-11 18:38 . 2010-04-11 18:52 -------- d-----w- C:\FyK

2010-04-11 18:21 . 2010-04-11 18:21 -------- d-----w- c:\windows\system32\NtmsData

2010-04-11 18:20 . 2010-04-11 18:20 -------- d-----w- c:\documents and settings\thib1984\Application Data\Avira

2010-04-11 18:09 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-04-11 18:09 . 2010-02-16 11:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-04-11 18:09 . 2009-05-11 09:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-04-11 18:09 . 2009-05-11 09:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-04-11 18:09 . 2010-04-11 18:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-04-11 13:16 . 2010-04-11 13:16 -------- d-----w- c:\temp\BTN%Copy%1

2010-04-11 13:16 . 2010-04-11 13:16 -------- d-----w- C:\temp

2010-04-11 11:56 . 2010-04-11 11:56 -------- d-----w- c:\windows\ASUSInstAll

2010-04-11 11:53 . 2007-12-28 07:22 10296 ----a-w- c:\windows\system32\drivers\ASUSHWIO.SYS

2010-04-10 10:51 . 2008-02-15 10:49 184320 ----a-w- c:\windows\system32\igfxres.dll

2010-04-10 10:40 . 2009-07-21 08:50 180224 ----a-w- c:\windows\system32\W32N55.dll

2010-04-10 10:40 . 2008-09-10 13:55 200704 ----a-w- c:\windows\system32\ssleay32.dll

2010-04-10 10:40 . 2010-02-01 14:36 800128 ----a-w- c:\windows\system32\Scutum.dll

2010-04-10 10:40 . 2009-10-29 07:50 152968 ----a-w- c:\windows\system32\RalinkGina.dll

2010-04-10 10:40 . 2009-05-11 09:45 147456 ----a-w- c:\windows\system32\DiagFunc.dll

2010-04-10 10:40 . 2009-04-21 13:31 19072 ----a-w- c:\windows\system32\drivers\Scutum50.sys

2010-04-10 10:40 . 2008-09-10 13:55 1085440 ----a-w- c:\windows\system32\libeay32.dll

2010-04-10 10:39 . 2010-02-04 00:47 226592 ----a-w- c:\windows\system32\RaCoInst.dll

2010-04-10 10:39 . 2010-04-10 10:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Ralink Driver

2010-04-10 10:39 . 2010-02-04 00:48 1323040 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\rt2860.sys

2010-04-10 10:39 . 2010-02-04 00:47 226592 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaCoInst.dll

2010-04-10 10:39 . 2010-02-04 00:47 13931 ----a-w- c:\windows\system32\RaCoInst.dat

2010-04-10 10:39 . 2009-10-28 07:48 533792 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaInst.exe

2010-04-10 10:39 . 2009-10-28 07:48 197920 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\CoInstaller.dll

2010-04-10 10:39 . 2009-07-13 16:47 323648 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\difxapi7.dll

2010-04-10 10:39 . 2006-11-02 05:21 319456 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\difxapi.dll

2010-04-10 10:33 . 2008-02-15 11:21 147456 ----a-w- c:\windows\system32\igfxCoIn_v4926.dll

2010-04-10 10:05 . 2010-04-10 10:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-04-10 10:04 . 2010-04-13 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

2010-04-06 19:55 . 2010-04-06 20:27 -------- d-----w- c:\documents and settings\thib1984\Application Data\Download Manager

2010-04-06 10:52 . 2010-04-06 10:52 2145 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\ows.messenger.msn.com

2010-04-06 08:26 . 2010-04-06 08:26 -------- d-----w- c:\documents and settings\thib1984\Application Data\gtk-2.0

2010-04-03 09:22 . 2010-04-11 17:58 -------- d-----w- c:\windows\ie8updates

2010-04-03 09:21 . 2010-04-03 09:21 -------- d-----w- c:\program files\MSXML 4.0

2010-03-31 22:04 . 2010-03-31 22:05 -------- d-----w- c:\documents and settings\thib1984\.smplayer

2010-03-26 08:21 . 2010-03-26 08:21 -------- d-----w- c:\documents and settings\thib1984\dwhelper

2010-03-24 22:01 . 2010-03-24 22:02 2165 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\rsi.hotmail.com

2010-03-22 15:07 . 2010-03-22 15:07 -------- d-----w- c:\windows\Sun

2010-03-19 10:27 . 2010-03-19 10:27 -------- d-----w- c:\documents and settings\thib1984\Application Data\Tracker Software

2010-03-17 13:58 . 2010-03-17 13:58 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe

2010-03-17 12:45 . 2010-03-17 12:45 -------- d-----w- c:\windows\Crystal

2010-03-17 12:45 . 1998-10-29 15:45 306688 ----a-w- c:\windows\IsUninst.exe

2010-03-16 21:01 . 2001-11-13 07:47 41324 ----a-w- c:\windows\system32\winio.sys

2010-03-16 21:01 . 2010-03-16 21:01 -------- d-----w- c:\documents and settings\thib1984\Application Data\MathWorks

2010-03-15 16:19 . 2010-03-15 16:19 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-14 08:27 . 2010-03-14 17:29 -------- d-----w- c:\documents and settings\thib1984\Application Data\vlc

2010-04-14 05:50 . 2010-03-14 19:18 -------- d-----w- c:\documents and settings\thib1984\Application Data\.purple

2010-04-10 12:41 . 2008-06-27 09:44 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2010-04-10 12:41 . 2008-05-19 23:05 -------- d-----w- c:\program files\ASUS

2010-04-10 12:41 . 2008-05-19 22:59 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-04-10 11:04 . 2009-05-14 17:28 64052 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-10 11:04 . 2009-05-14 17:28 445672 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-10 10:39 . 2008-05-19 23:03 -------- d-----w- c:\program files\RALINK

2010-03-26 08:22 . 2010-03-14 17:29 -------- d-----w- c:\documents and settings\thib1984\Application Data\dvdcss

2010-03-15 18:01 . 2010-03-15 09:14 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2010-03-15 09:29 . 2010-03-15 09:29 1956656 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe

2010-03-15 09:13 . 2010-03-15 08:44 -------- d-----w- c:\documents and settings\thib1984\Application Data\PhotoFiltre

2010-03-14 23:19 . 2010-03-14 13:38 59024 ----a-w- c:\documents and settings\thib1984\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-14 23:11 . 2010-03-14 23:11 -------- d-----w- c:\documents and settings\thib1984\Application Data\Lingoes

2010-03-14 23:11 . 2010-03-14 23:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Lingoes

2010-03-14 22:36 . 2010-03-14 17:17 -------- d-----w- c:\documents and settings\thib1984\Application Data\Notepad++

2010-03-14 20:25 . 2010-03-14 20:25 -------- d-----w- c:\program files\Fichiers communs\Java

2010-03-14 20:14 . 2010-03-14 20:14 503808 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1df3ce4b-n\msvcp71.dll

2010-03-14 20:14 . 2010-03-14 20:14 499712 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1df3ce4b-n\jmc.dll

2010-03-14 20:14 . 2010-03-14 20:14 348160 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1df3ce4b-n\msvcr71.dll

2010-03-14 20:13 . 2010-03-14 20:13 61440 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4787d202-n\decora-sse.dll

2010-03-14 20:13 . 2010-03-14 20:13 12800 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4787d202-n\decora-d3d.dll

2010-03-14 20:13 . 2010-03-14 20:13 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-03-14 20:11 . 2010-03-14 20:11 79488 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\jre1.6.0_18\gtapi.dll

2010-03-14 20:11 . 2010-03-14 20:11 152576 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\jre1.6.0_18\lzma.dll

2010-03-14 20:04 . 2010-03-14 17:27 -------- d-----w- c:\documents and settings\thib1984\Application Data\GlarySoft

2010-03-14 20:03 . 2010-03-14 19:59 -------- d-----w- c:\documents and settings\thib1984\Application Data\.clamwin

2010-03-14 19:18 . 2010-03-14 19:18 -------- d-----w- c:\documents and settings\thib1984\Application Data\Malwarebytes

2010-03-14 19:17 . 2010-03-14 19:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-03-14 18:58 . 2010-03-14 18:58 -------- d-----w- c:\documents and settings\thib1984\Application Data\ComodoGroup

2010-03-14 17:03 . 2010-03-14 17:02 -------- d-----w- c:\documents and settings\thib1984\Application Data\Thunderbird

2010-03-14 16:48 . 2010-03-14 16:48 -------- d-----w- c:\program files\Windows Media Connect 2

2010-03-14 14:51 . 2010-03-14 14:51 -------- d-----w- c:\program files\MSECache

2010-03-14 14:45 . 2010-03-14 14:45 -------- d-----w- c:\program files\Microsoft.NET

2010-03-14 13:41 . 2010-03-14 13:38 131 ----a-w- c:\documents and settings\thib1984\Local Settings\Application Data\fusioncache.dat

2010-02-25 06:17 . 2009-05-14 17:28 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-12 10:03 . 2010-03-14 15:48 293376 ------w- c:\windows\system32\browserchoice.exe

2010-02-04 00:48 . 2008-05-19 23:03 1323040 ----a-w- c:\windows\system32\drivers\rt2860.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-06-25 335872]

"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]

"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]

"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]

"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]

"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoNetworkConnections"= 01000000

"NoSMHelp"= 01000000

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoFavoritesMenu"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

"HonorAutoRunSetting"= 0 (0x0)

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"RTHDCPL"=RTHDCPL.EXE

"SoundMan"=SOUNDMAN.EXE

"AlcWzrd"=ALCWZRD.EXE

"Alcmtr"=ALCMTR.EXE

"AsusTray"=c:\program files\EeePC\ACPI\AsTray.exe

"AsusEPCMonitor"=c:\program files\EeePC\ACPI\AsEPCMon.exe

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"

"ClamWin"="d:\program files\ClamWin\bin\ClamTray.exe" --logon

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"d:\\Program Files\\NX Client for Windows\\nxclient.exe"=

"d:\\Program Files\\NX Client for Windows\\bin\\nxssh.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

"d:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"d:\\Program Files\\SopCast\\SopCast.exe"=

 

R0 cfadisk;CompactFlash Filter Driver;c:\windows\system32\drivers\cfadisk.sys [14/03/2010 16:27 3712]

R0 CFRMD;cfrmd;c:\windows\system32\drivers\CFRMD.sys [14/03/2010 19:16 133448]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\program files\Avira\AntiVir Desktop\sched.exe [11/04/2010 20:10 135336]

R2 Scutum50;Scutum50 NDIS Protocol Driver;c:\windows\system32\drivers\Scutum50.sys [10/04/2010 12:40 19072]

R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [20/05/2008 01:03 1323040]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [13/04/2010 19:31 38224]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath -

 

---- PARAMETRES FIREFOX ----

d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com"'>http://www.firefox.com");

d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-14 13:55

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Heure de fin: 2010-04-14 14:00:05

ComboFix-quarantined-files.txt 2010-04-14 11:58

 

Avant-CF: 482 656 256 octets libres

Après-CF: 449 318 912 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

- - End Of File - - 988A39D4E08A368BF6149BD4CE9AAED4

 

 

 

 

 

 

Je relance donc combofix, cette fois ci pas de bug. Nouveau fichier log.

 

ComboFix 10-04-13.04 - thib1984 14/04/2010 14:06:11.2.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.634 [GMT 2:00]

Lancé depuis: c:\documents and settings\thib1984\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-14 au 2010-04-14 ))))))))))))))))))))))))))))))))))))

.

 

2010-04-13 21:39 . 2010-04-13 21:39 2157 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\omega.contacts.msn.com

2010-04-13 19:32 . 2010-04-13 19:32 2095 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\login.live.com

2010-04-13 17:31 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-13 17:31 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-13 11:18 . 2010-04-13 11:18 -------- d--h--w- c:\windows\PIF

2010-04-13 11:16 . 2010-04-13 17:29 -------- d-----w- C:\tdsskiller

2010-04-12 09:31 . 2010-04-12 17:12 35608 ----a-w- C:\UsbFix_Upload_Me_EEEPC1984.zip

2010-04-12 09:19 . 2010-04-12 09:19 -------- d-----w- c:\documents and settings\All Users\Application Data\open-config

2010-04-12 09:18 . 2010-04-12 17:12 -------- d-----w- C:\UsbFix

2010-04-11 19:40 . 2010-04-11 19:41 -------- d-----w- C:\rsit

2010-04-11 18:38 . 2010-04-11 18:52 -------- d-----w- C:\FyK

2010-04-11 18:21 . 2010-04-11 18:21 -------- d-----w- c:\windows\system32\NtmsData

2010-04-11 18:20 . 2010-04-11 18:20 -------- d-----w- c:\documents and settings\thib1984\Application Data\Avira

2010-04-11 18:09 . 2010-03-01 07:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-04-11 18:09 . 2010-02-16 11:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-04-11 18:09 . 2009-05-11 09:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-04-11 18:09 . 2009-05-11 09:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-04-11 18:09 . 2010-04-11 18:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-04-11 13:16 . 2010-04-11 13:16 -------- d-----w- c:\temp\BTN%Copy%1

2010-04-11 13:16 . 2010-04-11 13:16 -------- d-----w- C:\temp

2010-04-11 11:56 . 2010-04-11 11:56 -------- d-----w- c:\windows\ASUSInstAll

2010-04-11 11:53 . 2007-12-28 07:22 10296 ----a-w- c:\windows\system32\drivers\ASUSHWIO.SYS

2010-04-10 10:51 . 2008-02-15 10:49 184320 ----a-w- c:\windows\system32\igfxres.dll

2010-04-10 10:40 . 2009-07-21 08:50 180224 ----a-w- c:\windows\system32\W32N55.dll

2010-04-10 10:40 . 2008-09-10 13:55 200704 ----a-w- c:\windows\system32\ssleay32.dll

2010-04-10 10:40 . 2010-02-01 14:36 800128 ----a-w- c:\windows\system32\Scutum.dll

2010-04-10 10:40 . 2009-10-29 07:50 152968 ----a-w- c:\windows\system32\RalinkGina.dll

2010-04-10 10:40 . 2009-05-11 09:45 147456 ----a-w- c:\windows\system32\DiagFunc.dll

2010-04-10 10:40 . 2009-04-21 13:31 19072 ----a-w- c:\windows\system32\drivers\Scutum50.sys

2010-04-10 10:40 . 2008-09-10 13:55 1085440 ----a-w- c:\windows\system32\libeay32.dll

2010-04-10 10:39 . 2010-02-04 00:47 226592 ----a-w- c:\windows\system32\RaCoInst.dll

2010-04-10 10:39 . 2010-04-10 10:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Ralink Driver

2010-04-10 10:39 . 2010-02-04 00:48 1323040 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\rt2860.sys

2010-04-10 10:39 . 2010-02-04 00:47 226592 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaCoInst.dll

2010-04-10 10:39 . 2010-02-04 00:47 13931 ----a-w- c:\windows\system32\RaCoInst.dat

2010-04-10 10:39 . 2009-10-28 07:48 533792 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\RaInst.exe

2010-04-10 10:39 . 2009-10-28 07:48 197920 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\CoInstaller.dll

2010-04-10 10:39 . 2009-07-13 16:47 323648 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\difxapi7.dll

2010-04-10 10:39 . 2006-11-02 05:21 319456 ----a-w- c:\documents and settings\All Users\Application Data\Ralink Driver\RT2860 Wireless LAN Card\Driver\difxapi.dll

2010-04-10 10:33 . 2008-02-15 11:21 147456 ----a-w- c:\windows\system32\igfxCoIn_v4926.dll

2010-04-10 10:05 . 2010-04-10 10:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-04-10 10:04 . 2010-04-13 17:30 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

2010-04-06 19:55 . 2010-04-06 20:27 -------- d-----w- c:\documents and settings\thib1984\Application Data\Download Manager

2010-04-06 10:52 . 2010-04-06 10:52 2145 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\ows.messenger.msn.com

2010-04-06 08:26 . 2010-04-06 08:26 -------- d-----w- c:\documents and settings\thib1984\Application Data\gtk-2.0

2010-04-03 09:22 . 2010-04-11 17:58 -------- d-----w- c:\windows\ie8updates

2010-04-03 09:21 . 2010-04-03 09:21 -------- d-----w- c:\program files\MSXML 4.0

2010-03-31 22:04 . 2010-03-31 22:05 -------- d-----w- c:\documents and settings\thib1984\.smplayer

2010-03-26 08:21 . 2010-03-26 08:21 -------- d-----w- c:\documents and settings\thib1984\dwhelper

2010-03-24 22:01 . 2010-03-24 22:02 2165 ----a-w- c:\documents and settings\thib1984\Application Data\.purple\certificates\x509\tls_peers\rsi.hotmail.com

2010-03-22 15:07 . 2010-03-22 15:07 -------- d-----w- c:\windows\Sun

2010-03-19 10:27 . 2010-03-19 10:27 -------- d-----w- c:\documents and settings\thib1984\Application Data\Tracker Software

2010-03-17 13:58 . 2010-03-17 13:58 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe

2010-03-17 12:45 . 2010-03-17 12:45 -------- d-----w- c:\windows\Crystal

2010-03-17 12:45 . 1998-10-29 15:45 306688 ----a-w- c:\windows\IsUninst.exe

2010-03-16 21:01 . 2001-11-13 07:47 41324 ----a-w- c:\windows\system32\winio.sys

2010-03-16 21:01 . 2010-03-16 21:01 -------- d-----w- c:\documents and settings\thib1984\Application Data\MathWorks

2010-03-15 16:19 . 2010-03-15 16:19 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-14 08:27 . 2010-03-14 17:29 -------- d-----w- c:\documents and settings\thib1984\Application Data\vlc

2010-04-14 05:50 . 2010-03-14 19:18 -------- d-----w- c:\documents and settings\thib1984\Application Data\.purple

2010-04-10 12:41 . 2008-06-27 09:44 -------- d-----w- c:\program files\Fichiers communs\InstallShield

2010-04-10 12:41 . 2008-05-19 23:05 -------- d-----w- c:\program files\ASUS

2010-04-10 12:41 . 2008-05-19 22:59 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-04-10 11:04 . 2009-05-14 17:28 64052 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-10 11:04 . 2009-05-14 17:28 445672 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-10 10:39 . 2008-05-19 23:03 -------- d-----w- c:\program files\RALINK

2010-03-26 08:22 . 2010-03-14 17:29 -------- d-----w- c:\documents and settings\thib1984\Application Data\dvdcss

2010-03-15 18:01 . 2010-03-15 09:14 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2010-03-15 09:29 . 2010-03-15 09:29 1956656 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe

2010-03-15 09:13 . 2010-03-15 08:44 -------- d-----w- c:\documents and settings\thib1984\Application Data\PhotoFiltre

2010-03-14 23:19 . 2010-03-14 13:38 59024 ----a-w- c:\documents and settings\thib1984\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-14 23:11 . 2010-03-14 23:11 -------- d-----w- c:\documents and settings\thib1984\Application Data\Lingoes

2010-03-14 23:11 . 2010-03-14 23:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Lingoes

2010-03-14 22:36 . 2010-03-14 17:17 -------- d-----w- c:\documents and settings\thib1984\Application Data\Notepad++

2010-03-14 20:25 . 2010-03-14 20:25 -------- d-----w- c:\program files\Fichiers communs\Java

2010-03-14 20:14 . 2010-03-14 20:14 503808 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1df3ce4b-n\msvcp71.dll

2010-03-14 20:14 . 2010-03-14 20:14 499712 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1df3ce4b-n\jmc.dll

2010-03-14 20:14 . 2010-03-14 20:14 348160 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-1df3ce4b-n\msvcr71.dll

2010-03-14 20:13 . 2010-03-14 20:13 61440 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4787d202-n\decora-sse.dll

2010-03-14 20:13 . 2010-03-14 20:13 12800 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4787d202-n\decora-d3d.dll

2010-03-14 20:13 . 2010-03-14 20:13 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-03-14 20:11 . 2010-03-14 20:11 79488 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\jre1.6.0_18\gtapi.dll

2010-03-14 20:11 . 2010-03-14 20:11 152576 ----a-w- c:\documents and settings\thib1984\Application Data\Sun\Java\jre1.6.0_18\lzma.dll

2010-03-14 20:04 . 2010-03-14 17:27 -------- d-----w- c:\documents and settings\thib1984\Application Data\GlarySoft

2010-03-14 20:03 . 2010-03-14 19:59 -------- d-----w- c:\documents and settings\thib1984\Application Data\.clamwin

2010-03-14 19:18 . 2010-03-14 19:18 -------- d-----w- c:\documents and settings\thib1984\Application Data\Malwarebytes

2010-03-14 19:17 . 2010-03-14 19:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-03-14 18:58 . 2010-03-14 18:58 -------- d-----w- c:\documents and settings\thib1984\Application Data\ComodoGroup

2010-03-14 17:03 . 2010-03-14 17:02 -------- d-----w- c:\documents and settings\thib1984\Application Data\Thunderbird

2010-03-14 16:48 . 2010-03-14 16:48 -------- d-----w- c:\program files\Windows Media Connect 2

2010-03-14 14:51 . 2010-03-14 14:51 -------- d-----w- c:\program files\MSECache

2010-03-14 14:45 . 2010-03-14 14:45 -------- d-----w- c:\program files\Microsoft.NET

2010-03-14 13:41 . 2010-03-14 13:38 131 ----a-w- c:\documents and settings\thib1984\Local Settings\Application Data\fusioncache.dat

2010-02-25 06:17 . 2009-05-14 17:28 916480 ------w- c:\windows\system32\wininet.dll

2010-02-12 10:03 . 2010-03-14 15:48 293376 ------w- c:\windows\system32\browserchoice.exe

2010-02-04 00:48 . 2008-05-19 23:03 1323040 ----a-w- c:\windows\system32\drivers\rt2860.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2008-06-25 335872]

"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]

"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]

"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]

"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]

"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoNetworkConnections"= 01000000

"NoSMHelp"= 01000000

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoFavoritesMenu"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

"HonorAutoRunSetting"= 0 (0x0)

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"RTHDCPL"=RTHDCPL.EXE

"SoundMan"=SOUNDMAN.EXE

"AlcWzrd"=ALCWZRD.EXE

"Alcmtr"=ALCMTR.EXE

"AsusTray"=c:\program files\EeePC\ACPI\AsTray.exe

"AsusEPCMonitor"=c:\program files\EeePC\ACPI\AsEPCMon.exe

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe"

"ClamWin"="d:\program files\ClamWin\bin\ClamTray.exe" --logon

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"d:\\Program Files\\NX Client for Windows\\nxclient.exe"=

"d:\\Program Files\\NX Client for Windows\\bin\\nxssh.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

"d:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"d:\\Program Files\\SopCast\\SopCast.exe"=

 

R0 cfadisk;CompactFlash Filter Driver;c:\windows\system32\drivers\cfadisk.sys [14/03/2010 16:27 3712]

R0 CFRMD;cfrmd;c:\windows\system32\drivers\CFRMD.sys [14/03/2010 19:16 133448]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\program files\Avira\AntiVir Desktop\sched.exe [11/04/2010 20:10 135336]

R2 Scutum50;Scutum50 NDIS Protocol Driver;c:\windows\system32\drivers\Scutum50.sys [10/04/2010 12:40 19072]

R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [20/05/2008 01:03 1323040]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [13/04/2010 19:31 38224]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath -

 

---- PARAMETRES FIREFOX ----

d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

d:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

d:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-14 14:10

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3064)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

d:\program files\WinSCP\DragExt.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\eappprxy.dll

.

Heure de fin: 2010-04-14 14:12:30

ComboFix-quarantined-files.txt 2010-04-14 12:12

ComboFix2.txt 2010-04-14 12:00

 

Avant-CF: 452 857 856 octets libres

Après-CF: 419 635 200 octets libres

 

- - End Of File - - 4969AC9D515202E0C273BBEAA7EE0FCC

 

 

 

C'est bon signe?

 

 

EDIT : pas bon signe. Analyse antivir (pour voir). Ca bloque comme habitude.

Modifié par thib1984
pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Rien d'anormal.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->ComboFix /uninstall

 

Supprimez C:\qoobox si vous le trouvez

 

Je dois m'absenter.

J'aurai ,peut-être , une meilleure idée à mon retour.

Avez vous le cd Windows (pas un recovery, un vrai)?

 

Vous reste-t-il assez de place sur vos disques ?

Modifié par pear

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...