Infections détectée par ZHPDIAG

[pldta]

et voila :

ComboFix 10-05-15.03 - Pascal Admin 16/05/2010 13:51:24.5.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.139 [GMT 2:00]

Lancé depuis: c:\documents and settings\Pascal Admin\Bureau\bitroc.exe

Commutateurs utilisés :: c:\documents and settings\Pascal Admin\Bureau\CFScript.txt

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: Sunbelt Kerio Personal Firewall *disabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}

 

FILE ::

"c:\documents and settings\Pascal Admin\Bureau\Asapiw2k.sys.txt"

"c:\documents and settings\Pascal Admin\Recent\Asapiw2k.sys.txt.lnk"

"c:\windows\maxdriver\asapiW2k.sys"

"c:\windows\system32\Asapiw2k.sys"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Pascal Admin\Bureau\Asapiw2k.sys.txt

c:\documents and settings\Pascal Admin\Recent\Asapiw2k.sys.txt.lnk

c:\windows\look.bat

c:\windows\maxdriver\asapiW2k.sys

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-16 au 2010-05-16 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-15 13:12 . 2010-05-15 16:10 -------- d-----w- C:\Sauvegarde

2010-05-15 08:34 . 2010-05-15 08:34 -------- d-----w- c:\program files\Zeb-Utility

2010-05-15 08:06 . 2010-05-15 08:06 -------- d-----w- c:\windows\system32\wbem\Repository

2010-05-10 18:27 . 2010-02-26 15:26 220024 ----a-w- c:\windows\sigcheck.exe

2010-05-10 18:15 . 2010-05-16 12:04 -------- d-----w- c:\windows\maxdriver

2010-05-09 14:43 . 2010-05-09 15:15 12552 ----a-w- c:\windows\system32\drivers\hddirect.sys

2010-05-02 12:30 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-02 12:29 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-02 12:29 . 2010-05-02 12:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-02 10:13 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-04-28 19:32 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

2010-04-28 14:55 . 2010-05-15 15:04 -------- d-----w- c:\program files\SEAF

2010-04-28 08:09 . 2010-04-28 08:09 -------- d-----w- c:\documents and settings\Pascal Admin\Application Data\Foxit Software

2010-04-27 10:03 . 2010-04-27 11:25 -------- d-----w- C:\Ad-Remover

2010-04-26 17:31 . 2010-04-27 08:12 -------- d-----w- C:\ToolBar SD

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-15 13:31 . 2005-11-06 11:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-05-13 19:49 . 2008-11-24 19:11 -------- d-----w- c:\documents and settings\Pascal Admin\Application Data\Vso

2010-05-12 06:23 . 2008-12-19 12:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-05-09 15:09 . 2006-08-08 20:23 1736213 ----a-w- c:\windows\system32\drivers\fwdrv.err

2010-05-08 11:06 . 2010-04-04 09:35 -------- d-----w- c:\program files\URLSnooper2

2010-05-08 10:29 . 2010-04-25 00:29 664 ----a-w- c:\documents and settings\Dominique\Local Settings\Application Data\d3d9caps.tmp

2010-05-06 08:36 . 2009-10-23 08:40 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-04 20:52 . 2007-03-03 18:06 -------- d-----w- c:\program files\SlySoft

2010-05-02 10:13 . 2009-12-20 14:11 -------- d-----w- c:\program files\Java

2010-05-02 09:15 . 2008-05-24 19:58 -------- d-----w- c:\program files\ZebHelpProcess 2

2010-05-01 14:42 . 2009-11-29 17:46 -------- d-----w- c:\program files\ZHPDiag

2010-04-26 17:46 . 2008-01-19 10:01 -------- d-----w- c:\documents and settings\Pascal Admin\Application Data\uTorrent

2010-04-26 08:40 . 2007-10-20 09:05 -------- d-----w- c:\program files\CCleaner

2010-04-09 10:05 . 2004-11-04 18:05 -------- d-----w- c:\program files\Fichiers communs\Adobe

2010-04-07 05:43 . 2006-04-15 10:06 -------- d-----w- c:\program files\Radio Fr Solo

2010-04-04 14:41 . 2008-11-30 21:38 664 ----a-w- c:\windows\system32\d3d9caps.dat

2010-04-04 09:37 . 2010-04-04 09:37 46 ----a-w- c:\windows\system32\DonationCoder_urlsnooper_InstallInfo.dat

2010-04-04 09:37 . 2010-04-04 09:37 -------- d-----w- c:\documents and settings\Pascal Admin\Application Data\DonationCoder

2010-04-04 09:36 . 2010-04-04 09:36 -------- d-----w- c:\program files\WinPcap

2010-04-04 09:35 . 2010-04-04 09:35 -------- d-----w- c:\documents and settings\All Users\Application Data\DonationCoder

2010-04-04 09:21 . 2010-04-04 09:21 -------- d-----w- c:\program files\Xi

2010-04-03 17:29 . 2010-04-03 17:29 503808 ----a-w- c:\documents and settings\Dominique\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-6f6d9473-n\msvcp71.dll

2010-04-03 17:29 . 2010-04-03 17:29 499712 ----a-w- c:\documents and settings\Dominique\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-6f6d9473-n\jmc.dll

2010-04-03 17:29 . 2010-04-03 17:29 12800 ----a-w- c:\documents and settings\Dominique\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2524fe97-n\decora-d3d.dll

2010-04-03 17:29 . 2010-04-03 17:29 348160 ----a-w- c:\documents and settings\Dominique\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-6f6d9473-n\msvcr71.dll

2010-04-03 17:29 . 2010-04-03 17:29 61440 ----a-w- c:\documents and settings\Dominique\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2524fe97-n\decora-sse.dll

2010-04-03 10:07 . 2005-10-07 15:49 -------- d-----w- c:\program files\Fichiers communs\Java

2010-04-03 10:07 . 2010-04-03 10:07 503808 ----a-w- c:\documents and settings\Pascal Admin\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5ae4574e-n\msvcp71.dll

2010-04-03 10:07 . 2010-04-03 10:07 61440 ----a-w- c:\documents and settings\Pascal Admin\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-65ae946b-n\decora-sse.dll

2010-04-03 10:07 . 2010-04-03 10:07 499712 ----a-w- c:\documents and settings\Pascal Admin\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5ae4574e-n\jmc.dll

2010-04-03 10:07 . 2010-04-03 10:07 348160 ----a-w- c:\documents and settings\Pascal Admin\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5ae4574e-n\msvcr71.dll

2010-04-03 10:07 . 2010-04-03 10:07 12800 ----a-w- c:\documents and settings\Pascal Admin\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-65ae946b-n\decora-d3d.dll

2010-04-03 10:05 . 2001-08-28 12:00 615420 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-03 10:05 . 2001-08-28 12:00 123638 ----a-w- c:\windows\system32\perfc00C.dat

2010-03-28 12:37 . 2010-03-06 16:20 -------- d-----w- c:\program files\USB-set

2010-03-27 12:32 . 2008-03-16 14:51 -------- d-----w- c:\documents and settings\Dominique\Application Data\Smart Panel

2010-03-26 11:17 . 2004-10-10 15:53 -------- d-----w- c:\program files\eMule

2010-03-24 13:09 . 2005-02-14 21:38 117824 ----a-w- c:\documents and settings\Olivier\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-24 13:05 . 2010-03-24 13:05 130 ----a-w- c:\documents and settings\Olivier\Local Settings\Application Data\fusioncache.dat

2010-03-20 13:00 . 2008-05-24 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\BSD

2010-03-13 17:28 . 2010-03-13 17:28 2734 ----a-r- c:\documents and settings\Pascal Admin\Application Data\Microsoft\Installer\{C9CE8735-F02F-4DE4-B979-04D30DFFE7C3}\_2cd672ae.exe

2010-03-13 17:28 . 2010-03-13 17:28 2734 ----a-r- c:\documents and settings\Pascal Admin\Application Data\Microsoft\Installer\{C9CE8735-F02F-4DE4-B979-04D30DFFE7C3}\_294823.exe

2010-03-13 17:28 . 2010-03-13 17:28 2734 ----a-r- c:\documents and settings\Pascal Admin\Application Data\Microsoft\Installer\{C9CE8735-F02F-4DE4-B979-04D30DFFE7C3}\_18be6784.exe

2010-03-13 17:28 . 2010-03-13 17:28 12390 ----a-r- c:\documents and settings\Pascal Admin\Application Data\Microsoft\Installer\{C9CE8735-F02F-4DE4-B979-04D30DFFE7C3}\_4ae13d6c.exe

2010-03-10 06:16 . 2002-08-29 09:45 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-02-25 06:17 . 2002-08-29 09:45 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-24 13:11 . 2005-02-12 12:06 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr

2010-02-17 12:07 . 2002-08-29 09:42 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-16 19:07 . 2002-08-29 11:42 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe

1999-12-02 12:54 . 2007-10-27 08:36 91648 ------w- c:\program files\xcacls.exe

2008-09-10 11:49 . 2008-09-10 11:49 5817064 ----a-w- c:\program files\mozilla firefox\plugins\ScorchPDFWrapper.dll

2005-05-30 19:37 . 2005-05-30 19:37 8192 --sha-w- c:\windows\o2cLicStore.bin

2005-05-05 15:01 . 2005-05-05 15:01 8 --sh--r- c:\windows\system32\0AA48D50C7.sys

2006-07-11 06:15 . 2006-07-11 06:15 5 --sha-w- c:\windows\system32\aebdd_s.dll

2008-04-14 02:33 . 2001-08-28 12:00 65024 --sha-w- c:\windows\system32\asycfilt.dll

2005-05-05 15:15 . 2005-05-05 15:01 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys

2001-08-28 12:00 . 2001-08-28 12:00 57344 --sha-w- c:\windows\system32\mfc42loc.dll

2001-08-28 12:00 . 2001-08-28 12:00 253952 --sha-w- c:\windows\system32\msvcrt20.dll

2008-04-14 02:33 . 2002-08-29 09:44 551936 --sha-w- c:\windows\system32\oleaut32.dll

2008-04-14 02:33 . 2001-08-28 12:00 84992 --sha-w- c:\windows\system32\olepro32.dll

2008-04-14 02:33 . 2001-08-28 12:00 30749 --sha-w- c:\windows\system32\vbajet32.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PSDrvCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-08-28 396800]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2007-04-19 10:41 294912 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e\0SsiEfr.e

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HDDirect.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Nikon Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Nikon Monitor.lnk

backup=c:\windows\pss\Nikon Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Pascal Admin^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]

path=c:\documents and settings\Pascal Admin\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Pascal Admin^Menu Démarrer^Programmes^Démarrage^HotSync Manager.lnk]

path=c:\documents and settings\Pascal Admin\Menu Démarrer\Programmes\Démarrage\HotSync Manager.lnk

backup=c:\windows\pss\HotSync Manager.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Pascal Admin^Menu Démarrer^Programmes^Démarrage^Outil de notification Live Search.lnk]

backup=c:\windows\pss\Outil de notification Live Search.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]

2007-02-07 23:12 488984 ----a-w- c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]

2007-02-07 23:13 774168 ----a-w- c:\program files\Logitech\QuickCam10\QuickCam10.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

2007-02-06 15:43 252704 ----a-w- c:\program files\Fichiers communs\Logitech\LComMgr\LVComSX.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R0 iteraid;ITERAID_Service_Install;c:\windows\system32\drivers\iteraid.sys [04/11/2004 11:55 23003]

R0 PrecSim;PrecSim;c:\windows\system32\drivers\precsim.sys [22/05/2002 01:00 69600]

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [18/07/2006 12:02 284184]

R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [18/07/2006 12:02 91672]

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [29/02/2008 16:03 8944]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [29/02/2008 16:03 51440]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/10/2009 12:04 108289]

R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20/10/2009 20:19 50704]

R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [27/04/2007 15:19 2368]

R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [05/10/2006 23:11 13592]

R3 chdrvr01;CH Control Manager Driver 1;c:\windows\system32\drivers\chdrvr01.sys [06/01/2008 18:37 215104]

R3 chdrvr02;CH Control Manager Driver 2;c:\windows\system32\drivers\chdrvr02.sys [06/01/2008 18:37 3744]

R3 chdrvr03;CH Control Manager Driver 3;c:\windows\system32\drivers\chdrvr03.sys [06/01/2008 18:37 9024]

R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);c:\windows\system32\drivers\e10kx2k.sys [01/04/2006 14:19 1757928]

S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys --> c:\windows\system32\DRIVERS\ElbyVCD.sys [?]

S3 HDDirect;Hard Disk Direct Control;c:\windows\system32\drivers\hddirect.sys [09/05/2010 16:43 12552]

S3 MODRC;DiBcom Infrared Receiver;c:\windows\system32\drivers\modrc.sys [28/04/2008 18:54 13824]

S3 PctvVirtualNdis;Pinnacle Virtual Miniport;c:\windows\system32\drivers\PctvVirtualNdis.sys [28/04/2008 19:14 13696]

S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 16:51 4096]

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-16 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Windows Defender\MpCmdRun.exe [2006-10-05 21:11]

.

.

------- Examen supplémentaire -------

.

mWindow Title =

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Télécharger avec NetTransport - c:\program files\Xi\NetTransport 2\NTAddLink.html

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Tout t&élécharger avec NetTransport - c:\program files\Xi\NetTransport 2\NTAddList.html

Trusted Zone: ahnlab.com\global

Trusted Zone: cltnet.de\www

Trusted Zone: gdfsuez.com\webmailfr

TCP: {9548D205-C2A3-4969-BEF2-92CBB72FF227} = 192.168.0.1

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

DPF: teleir_cert - hxxps://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab

DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} - hxxp://www.cltnet.de/login/dplaunch.cab

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab

FF - ProfilePath - c:\documents and settings\Pascal Admin\Application Data\Mozilla\Firefox\Profiles\ksf78zvj.default\

FF - prefs.js: browser.search.selectedEngine - Live Search

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=

FF - component: c:\documents and settings\Pascal Admin\Application Data\Mozilla\Firefox\Profiles\ksf78zvj.default\extensions\isadmin@vdtsoftware.ffext\components\isadmin.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SafeBoot-HDDirect

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-16 14:08

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8336401C]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf86daf28

\Driver\ACPI -> ACPI.sys @ 0xf862ccb8

\Driver\atapi -> 0x8336401c

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615

ParseProcedure -> 0x82e881b0

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0615

ParseProcedure -> 0x82e881b0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-1935655697-1993962763-1343024091-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(628)

c:\program files\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\Ati2evxx.dll

 

- - - - - - - > 'explorer.exe'(3100)

c:\program files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe

c:\program files\Sandboxie\SbieSvc.exe

c:\windows\System32\MsPMSPSv.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe

c:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe

c:\windows\System32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2010-05-16 14:22:33 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-16 12:22

ComboFix2.txt 2010-05-02 11:50

ComboFix3.txt 2010-04-28 19:19

ComboFix4.txt 2010-04-28 12:08

ComboFix5.txt 2010-05-16 11:41

 

Avant-CF: 12 238 553 088 octets libres

Après-CF: 12 307 173 376 octets libres

 

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - 4BE3A830DF1EFBE77ED2A668117EBB5A

[pldta]

Depuis mon dernier post, j'ai repassé MBAM qui m'a encore trouvé deux infections dans les dossiers de restauration, il me semble.

 

Je me suis posé la question de nouvelles infections par clés USB comme mon Netbook avait aussi quelques problèmes (autre post).

 

J'ai donc passé USBFIX qui me donne cela :

 

 

############################## | UsbFix V6.114 |

 

User : Pascal Admin (Administrateurs) # PCPASCAL

Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8

Start at: 17:09:48 | 23/05/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Athlon XP 1800+

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Disabled

AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

FW : Sunbelt Kerio Personal Firewall[ Enabled ]4.3.268 T

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 39,06 Go (11,29 Go free) [Programmes] # NTFS

D:\ -> Disque fixe local # 75,42 Go (5,18 Go free) [Données] # NTFS

E:\ -> Disque fixe local # 189,91 Go (12,19 Go free) [Disque deux] # NTFS

F:\ -> Disque fixe local # 37,27 Go (638,43 Mo free) [Copie] # NTFS

G:\ -> Disque CD-ROM

H:\ -> Disque CD-ROM

I:\ -> Disque amovible # 7,64 Go (2,94 Go free) [uDISK] # FAT32

J:\ -> Disque CD-ROM

K:\ -> Disque amovible # 3,84 Go (198,56 Mo free) [KINGSTON] # FAT32

L:\ -> Disque amovible # 29,8 Go (8,2 Go free) [uSB DISK] # FAT32

N:\ -> Disque fixe local # 279,47 Go (4,38 Go free) [LACIE] # NTFS

 

################## | Elements infectieux |

 

Supprimé ! C:\Recycler\S-1-5-21-1935655697-1993962763-1343024091-1003

Supprimé ! D:\Recycler\S-1-5-21-1935655697-1993962763-1343024091-1003

Supprimé ! E:\Recycler\S-1-5-21-1935655697-1993962763-1343024091-1003

Supprimé ! E:\Recycler\S-1-5-21-1935655697-1993962763-1343024091-1005

Supprimé ! F:\Recycler\S-1-5-21-1935655697-1993962763-1343024091-1003

Supprimé ! N:\Recycler\S-1-5-21-1454471165-1637723038-682003330-1003

Supprimé ! N:\Recycler\S-1-5-21-1935655697-1993962763-1343024091-1003

Supprimé ! N:\Recycler\S-1-5-21-1935655697-1993962763-1343024091-1005

Supprimé ! N:\Recycler\S-1-5-21-2607298696-2837384599-84333206-1006

Supprimé ! N:\Recycler\S-1-5-21-2607298696-2837384599-84333206-1007

Supprimé ! N:\Recycler\S-1-5-21-2909273154-1311430368-294722606-1006

Supprimé ! N:\Recycler\S-1-5-21-57989841-2049760794-725345543-1003

 

################## | Registre |

 

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

 

################## | Mountpoints2 |

 

 

################## | Listing des fichiers présent |

 

[21/04/2010 07:53|--a------|2133] C:\3)

[27/04/2010 13:26|--a------|4714] C:\Ad-Report-CLEAN[1].txt

[27/04/2010 13:13|--a------|4046] C:\Ad-Report-SCAN[1].txt

[05/10/2005 17:16|--a------|0] C:\AdobeDebug.txt

[03/10/2004 18:17|--a------|0] C:\AUTOEXEC.BAT

[10/10/2004 12:06|--a------|212] C:\Boot.bak

[27/04/2010 20:14|-rahs----|282] C:\boot.ini

[28/08/2001 14:00|-rahs----|4952] C:\Bootfont.bin

[03/08/2004 23:00|--a------|263488] C:\cmldr

[16/05/2010 14:22|--a------|22716] C:\ComboFix.txt

[03/10/2004 18:17|--a------|0] C:\CONFIG.SYS

[03/11/2005 04:06|--a------|4604] C:\data

[05/05/2005 11:22|--a------|21] C:\Disk_boot.txt

[?|?|?] C:\hiberfil.sys

[03/10/2004 18:17|-rahs----|0] C:\IO.SYS

[20/12/2009 16:08|--a------|6581] C:\JavaRa.log

[20/12/2009 13:06|--a------|19] C:\log_debug.txt

[10/05/2010 20:30|--a------|5971] C:\looklog.txt

[07/10/2006 17:39|--a------|3293] C:\lvcoinst.log

[02/05/2010 14:20|--a------|127] C:\mbam-error.txt

[03/10/2004 18:17|-rahs----|0] C:\MSDOS.SYS

[10/10/2004 12:00|-rahs----|47564] C:\NTDETECT.COM

[07/10/2008 20:55|-rahs----|252240] C:\ntldr

[?|?|?] C:\pagefile.sys

[23/05/2010 12:50|--a------|13030] C:\PDOXUSRS.NET

[24/04/2008 19:09|--a------|5354] C:\rapport.txt

[09/11/2008 13:49|--a------|177317] C:\RootkitReveal.txt

[05/05/2010 20:13|--a------|8302] C:\RootRepeal report 05-05-10 (20-13-16).txt

[05/05/2010 21:13|--a------|8302] C:\RootRepeal report 05-05-10 (21-13-37).txt

[11/11/2005 14:43|--a------|11352] C:\RTFxLog.txt

[14/05/2009 07:44|--a------|138] C:\s5m8

[07/05/2010 15:53|--a------|585405536] C:\SaintAnne Arte 7 5 2010_HQ_FR.wmv

[28/02/2005 14:57|--a------|351] C:\SB_usb_log.txt

[23/05/2010 13:20|--a------|3181] C:\TB.txt

[20/06/2008 12:48|--a------|208] C:\uniextract.txt

[20/06/2008 12:46|--a------|0] C:\uniextract_temp.txt

[23/05/2010 17:24|--a------|4434] C:\UsbFix.txt

[14/01/2007 16:37|--a------|16710] C:\WinZipErrorReportLog.Txt

[14/01/2007 13:27|--a------|98] C:\WZT1

[01/02/2009 11:47|--a------|33497350] C:\xscan.txt

[30/10/2007 23:47|--a------|161061888] E:\Concert du 30 10 07.mp3

[[25/10/2008 13:44|--a------|23869953] F:\Cocktails.pdf

[26/06/2009 13:42|--a------|264] F:\Le Piano Pour Les D‚butants Partitions SolfŠge Exercices Cours De Piano.url

[20/10/2008 19:55|--a------|18160538] F:\Les.arbres.fruitiers-Formes.et.tailles.zip

[20/01/2009 23:46|--a------|59455] F:\My DVD.XtoDVD

[20/04/2010 19:33|--a------|1878600] I:\screamer043.zip

[22/09/2009 13:27|--a------|24064] I:\T‚l‚phones Portables - 18062007.xls

[22/02/2010 09:54|--a------|169129] I:\100210_Annuaire t‚l B3G.xlsx

[05/03/2010 11:52|--a------|493056] I:\Annuaire B3G Colis‚eIV_021109.xls

[12/05/2010 17:01|--a------|50485] I:\M3E_DSD_SEV_EquipeSyM Gest MOA i3 modifi‚e .docx

[03/06/2007 20:49|--a------|129673860] N:\Larousse_Gastronomique.pdf

[26/06/2009 13:42|--a------|264] N:\Le Piano Pour Les D‚butants Partitions SolfŠge Exercices Cours De Piano.url

[20/10/2008 19:55|--a------|18160538] N:\Les.arbres.fruitiers-Formes.et.tailles.zip

[08/06/2009 19:27|--a------|324222504] N:\windows-xp-service-pack-3_windows_xp_service_pack_3_francais_242026.exe

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# L:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# N:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

J'espère que cela va arranger un peu les choses. Reste toujours le problème de MBR mais qui n'en est peut-être pas un.

[pear]

Bonjour,

Combofix est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->ComboFix /uninstall

 

Supprimez C:\qoobox si vous le trouvez

[pldta]

Cela ne marche pas . J'ai supprimé à la main les répertoires C:\qoobox et C:\combofix

 

Puis j'ai passé ToolsCleaner. Je pense que c'est bon maintenant.

 

J'en ai profité pour regarder les fichiers à la racine de C:

J'ai deux fichiers ntldr et cmldr pour lequel virustotal me trouve un truc (avec Mc Afee GW) mais c'est sans doute un faux positif

car ce sont des fichier utiles pour windows

 

Fichier ntldr reçu le 2010.05.25 18:35:19 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.05.10 -

AhnLab-V3 2010.05.25.05 2010.05.25 -

AntiVir 8.2.1.242 2010.05.25 -

Antiy-AVL 2.0.3.7 2010.05.25 -

Authentium 5.2.0.5 2010.05.25 -

Avast 4.8.1351.0 2010.05.25 -

Avast5 5.0.332.0 2010.05.25 -

AVG 9.0.0.787 2010.05.25 -

BitDefender 7.2 2010.05.25 -

CAT-QuickHeal 10.00 2010.05.25 -

ClamAV 0.96.0.3-git 2010.05.25 -

Comodo 4941 2010.05.25 -

DrWeb 5.0.2.03300 2010.05.25 -

eSafe 7.0.17.0 2010.05.25 -

eTrust-Vet 35.2.7509 2010.05.25 -

F-Prot 4.6.0.103 2010.05.24 -

F-Secure 9.0.15370.0 2010.05.25 -

Fortinet 4.1.133.0 2010.05.25 -

GData 21 2010.05.25 -

Ikarus T3.1.1.84.0 2010.05.25 -

Jiangmin 13.0.900 2010.05.24 -

Kaspersky 7.0.0.125 2010.05.25 -

McAfee 5.400.0.1158 2010.05.25 -

McAfee-GW-Edition 2010.1 2010.05.25 Heuristic.BehavesLike.Exploit.CodeExec.EBGF

Microsoft 1.5802 2010.05.25 -

NOD32 5145 2010.05.25 -

Norman 6.04.12 2010.05.25 -

nProtect 2010-05-25.01 2010.05.25 -

Panda 10.0.2.7 2010.05.25 -

PCTools 7.0.3.5 2010.05.25 -

Prevx 3.0 2010.05.25 -

Rising 22.49.01.04 2010.05.25 -

Sophos 4.53.0 2010.05.25 -

Sunbelt 6353 2010.05.25 -

Symantec 20101.1.0.89 2010.05.25 -

TheHacker 6.5.2.0.287 2010.05.25 -

TrendMicro 9.120.0.1004 2010.05.25 -

TrendMicro-HouseCall 9.120.0.1004 2010.05.25 -

VBA32 3.12.12.5 2010.05.25 -

ViRobot 2010.5.20.2326 2010.05.25 -

VirusBuster 5.0.27.0 2010.05.25 -

Information additionnelle

File size: 252240 bytes

MD5...: 7794c3221f670de270586a2cf6e68383

SHA1..: 08708e5e48ee3250e878851374085f586f787687

SHA256: 8e95fa744aadce7912e344a147fe1fac1dcd5fd1a58aadc311d52cfd5ba3142a

ssdeep: 6144:XpYruzuGg2fWvILrp4mSeMDRX5xnraZmU3DG5gUBlQd52EJO1AJeG0Ym9an<br>:+N3Krp+NX5VraZmU3DG5gUBlQd52EJOw<br>

PEiD..: -

PEInfo: -

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: Unknown!

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

[pldta]

J'espère que ce sont des faux positifs. Quel est votre avis?

[pear]

Mcafee est le seul à y trouver à redire.

Au surplus, ce n'est pas , et de loin, le plus fiable des antivirus.