[Résolu] Malwares récalcitrants (avec rapport ComboFix)

[Elric_Brothers]

Bonjour à tous, si je suis maintenant ici c'est que mon problème devient réellement récalcitrant. En effet, j'ai chopé depuis peu Antimalware Doctor qui je pensais avoir éradiqué grâce à Malwarebytes. Hors, content de ma manipulation et tout, ne voyant plus cette chose malhonnête démarrer au démarrage de l'ordinateur, un problème persiste. J'ai refais un scan Malware, Ad-Aware, Spybot et Avira (aussi un nettoyage du registre et autre avec CCleaner), tout était supprimé MAIS faut croire que non. Mon PC maintenant se fige au bout d'un certain temps m'obligeant donc à faire du "forcing reboot" (en gros un reset méchant et mauvais).

 

Donc voilà, étant pas très doué dans ce domaine, je pense qu'il y a besoin de rapport Hijack ou autres (Combofix etc...) mais je ne suis pas bête dans le sens où chaque rapport correspond à SON Pc uniquement et est par conséquent différent. Ce qui m'amène à vous .

 

Ce serait vraiment sympa de votre part de m'aider en ce qui concerne ce problème, je suis prêt à suivre toutes les instructions nécessaires afin d'éradiquer ce problème.

 

Cela fait maintenant 4 jours d'affilés que je me tape des virus ou malwares à la *** (car dernièrement j'ai aussi chopé un Virus de type Bagle-worm Hldrrrr.exe => formatage) donc du coup j'ai pas réellement l'envie de me retaper un formatage bidon alors que j'en ai effectuer un il y a peu (surtout pour des malwares bien que je ne connaisse pas la puissance de chacun).

 

 

Merci d'avance en tout cas, pour ma part je vais partir au travail donc si vous voyez que je ne réponds pas sous les dernières 5h, c'est normal .

 

Et re-merci pour la peine.

 

Elric.

Modifié le 4 mai 2010 par Elric_Brothers

[Elric_Brothers]

Up

 

Me voilà rentrer du boulot avec donc un log du rapport du rapport ComboFix (en regardant un peu les réponses sur le forum, je me suis dis que cela pouvait faire gagner du temps à certains, dont moi )

 

ComboFix 10-05-03.06 - SoSo 04/05/2010 18:29:37.1.8 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3063.2341 [GMT 2:00]

Lancé depuis: c:\documents and settings\SoSo\Mes documents\Téléchargements\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\SoSo\Application Data\CD1B68CD22A3AF2F0A92D6B14376DC35

c:\documents and settings\SoSo\Application Data\CD1B68CD22A3AF2F0A92D6B14376DC35\enemies-names.txt

c:\documents and settings\SoSo\Application Data\CD1B68CD22A3AF2F0A92D6B14376DC35\lsrslt.ini

c:\documents and settings\SoSo\Application Data\Desktopicon

c:\documents and settings\SoSo\Application Data\Desktopicon\eBay.ico

c:\documents and settings\SoSo\Application Data\Desktopicon\uninst.exe

c:\program files\Splitcam Toolbar\tbHElper.dll

c:\program files\WindowsUpdate

c:\windows\eSellerateEngine.dll

c:\windows\system32\scvideo.dll

 

.

original MBR restored successfully !

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SSHNAS

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-04 15:24 . 2010-05-04 15:46 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\Ashampoo

2010-05-04 15:21 . 2010-05-04 15:21 -------- d-----w- c:\program files\Ashampoo

2010-05-04 15:04 . 2010-05-04 15:04 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-05-04 14:59 . 2010-05-04 14:59 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing

2010-05-04 04:20 . 2010-04-30 03:38 15880 ----a-w- c:\windows\system32\lsdelete.exe

2010-05-04 03:08 . 2010-05-04 03:08 -------- d-----w- c:\documents and settings\SoSo\Application Data\Malwarebytes

2010-05-04 03:08 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-04 03:08 . 2010-05-04 03:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-05-04 03:08 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-04 03:08 . 2010-05-04 03:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-04 02:44 . 2010-05-04 02:44 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache

2010-05-04 02:35 . 2010-05-04 02:35 -------- d-s---w- c:\documents and settings\LocalService\Favoris

2010-05-04 00:57 . 2010-05-04 00:57 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\Identities

2010-05-03 02:48 . 2010-05-03 02:49 -------- d-----w- c:\documents and settings\SoSo\Application Data\PhotoFiltre Studio X

2010-05-03 02:36 . 2010-05-04 02:27 -------- d-----w- c:\windows\SxsCaPendDel

2010-05-03 02:33 . 2010-05-03 02:33 -------- d-----w- c:\documents and settings\SoSo\Application Data\Toolbar4

2010-05-03 02:33 . 2010-05-03 02:33 59174 ----a-w- c:\documents and settings\SoSo\Application Data\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E}\UninstallToolbar.exe

2010-05-03 02:33 . 2010-02-16 09:57 197632 ----a-w- c:\documents and settings\SoSo\Application Data\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E}\TbHelper2.exe

2010-05-03 02:33 . 2009-11-25 09:12 56832 ----a-w- c:\documents and settings\SoSo\Application Data\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E}\update.exe

2010-05-03 02:33 . 2009-11-25 09:12 42496 ----a-w- c:\documents and settings\SoSo\Application Data\Toolbar4\{338B4DFE-2E2C-4338-9E41-E176D497299E}\uninstall.exe

2010-05-03 02:33 . 2010-05-04 16:35 -------- d-----w- c:\program files\Splitcam Toolbar

2010-05-03 02:33 . 2010-05-03 02:33 13824 ----a-w- c:\windows\system32\drivers\splitcam.sys

2010-05-03 02:33 . 2010-05-03 02:33 -------- d-----w- c:\program files\SplitCam

2010-05-02 13:52 . 2010-05-02 13:52 -------- d-----w- c:\program files\MSXML 4.0

2010-05-02 01:30 . 2010-05-02 01:32 -------- d-----w- c:\documents and settings\All Users\Application Data\IVS

2010-05-02 01:28 . 2010-05-02 01:28 -------- d-----w- c:\windows\Downloaded Installations

2010-05-01 23:19 . 2010-05-01 23:19 -------- d-----w- c:\windows\Sun

2010-05-01 13:07 . 2010-05-01 13:07 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\Safari 5.31.22.7\SetupAdmin.exe

2010-05-01 10:59 . 2010-05-01 10:59 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\mywebsites.pro-FR

2010-05-01 10:59 . 2010-05-01 10:59 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple

2010-05-01 02:24 . 2010-05-01 02:24 -------- d-----w- c:\documents and settings\SoSo\Application Data\DivX

2010-04-30 23:21 . 2010-04-30 23:32 -------- d-----w- c:\program files\Texas Holdem Poker 3D Deluxe Edition DeLEGiON

2010-04-30 21:25 . 2010-04-30 21:25 -------- d-----w- c:\windows\system32\XPSViewer

2010-04-30 21:25 . 2010-04-30 21:25 -------- d-----w- c:\program files\MSBuild

2010-04-30 21:25 . 2010-04-30 21:25 -------- d-----w- c:\program files\Reference Assemblies

2010-04-30 21:25 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll

2010-04-30 21:24 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2010-04-30 21:24 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2010-04-30 21:24 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2010-04-30 21:24 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2010-04-30 21:24 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2010-04-30 21:24 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2010-04-30 21:24 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2010-04-30 21:24 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe

2010-04-30 19:45 . 2010-04-30 19:45 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2010-04-30 19:45 . 2010-04-30 19:45 -------- d-sh--w- c:\documents and settings\SoSo\IETldCache

2010-04-30 18:41 . 2010-02-25 06:17 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2010-04-30 18:41 . 2010-02-25 06:17 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2010-04-30 18:41 . 2010-05-01 14:01 -------- d-----w- c:\windows\ie8updates

2010-04-30 18:41 . 2010-02-16 04:50 64000 -c----w- c:\windows\system32\dllcache\iecompat.dll

2010-04-30 18:39 . 2010-04-30 18:41 -------- dc-h--w- c:\windows\ie8

2010-04-30 18:16 . 2008-06-14 17:33 272768 -c----w- c:\windows\system32\dllcache\bthport.sys

2010-04-30 18:16 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\drivers\bthport.sys

2010-04-30 18:15 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2010-04-30 18:12 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

2010-04-30 18:06 . 2010-02-17 12:07 2192000 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe

2010-04-30 18:06 . 2010-02-16 19:06 2148352 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2010-04-30 18:05 . 2010-02-16 19:06 2026496 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2010-04-30 14:35 . 2010-04-30 14:35 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\Riot

2010-04-30 14:26 . 2010-04-30 14:27 -------- d-----w- c:\program files\RocketDock

2010-04-30 04:46 . 2010-04-30 04:46 -------- d-----w- c:\program files\StuffPlug3

2010-04-30 04:44 . 2010-04-30 13:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!

2010-04-30 04:20 . 2010-04-30 04:20 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\Cooliris

2010-04-30 04:20 . 2010-01-06 10:08 57856 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\components\coolirisstub.dll

2010-04-30 04:20 . 2010-01-06 10:08 545280 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe

2010-04-30 04:20 . 2010-01-06 10:08 4726272 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\libs\cooliris190.dll

2010-04-30 04:20 . 2010-01-06 10:08 4725760 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\libs\cooliris192.dll

2010-04-30 04:20 . 2010-01-06 10:08 344064 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe

2010-04-30 04:20 . 2010-01-06 10:08 153600 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll

2010-04-30 04:20 . 2010-01-06 10:08 103424 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\libs\pixomatic.dll

2010-04-30 04:20 . 2009-11-25 20:03 61952 ----a-w- c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\glasser@sixxgate.com\components\dwmxpcom.dll

2010-04-30 04:04 . 2010-04-30 04:04 -------- d-----w- c:\program files\Fichiers communs\Adobe

2010-04-30 04:04 . 2010-04-30 04:04 -------- d-----w- c:\windows\system32\Adobe

2010-04-30 04:04 . 2010-04-30 04:04 -------- d-----w- c:\documents and settings\Default User\Local Settings\Application Data\Adobe

2010-04-30 04:03 . 2010-04-30 04:03 -------- d-----w- c:\program files\Fichiers communs\Java

2010-04-30 04:03 . 2010-04-30 04:03 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe

2010-04-30 04:02 . 2010-04-30 04:02 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee

2010-04-30 04:02 . 2010-04-30 04:02 1025992 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\SecurityScan_Release.exe

2010-04-30 04:02 . 2010-04-30 04:37 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2010-04-30 03:58 . 2010-04-30 03:58 -------- d-----w- c:\program files\AC3Filter

2010-04-30 03:57 . 2010-04-30 03:57 -------- d-----w- c:\program files\XnView

2010-04-30 03:57 . 2010-04-30 19:07 -------- d-----w- c:\program files\ManyCam 2.4

2010-04-30 03:57 . 2010-04-30 19:07 -------- d-----w- c:\documents and settings\SoSo\Application Data\ManyCam

2010-04-30 03:56 . 2010-04-30 03:56 -------- d-----w- c:\program files\mywebsites.pro-FR

2010-04-30 03:56 . 2010-04-30 03:56 -------- d-----w- c:\program files\Conduit

2010-04-30 03:56 . 2010-04-30 03:56 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\mywebsites.pro-FR

2010-04-30 03:56 . 2010-04-30 03:56 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\Conduit

2010-04-30 03:49 . 2010-04-30 03:50 -------- d-----w- c:\documents and settings\SoSo\Application Data\ooVoo Details

2010-04-30 03:49 . 2010-04-30 03:49 -------- d-----w- c:\program files\ooVoo

2010-04-30 03:49 . 2010-04-30 05:30 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\Adobe

2010-04-30 03:45 . 2010-04-30 03:45 -------- d-----w- c:\program files\QO Labs

2010-04-30 03:44 . 2010-04-30 03:44 -------- d-----w- c:\program files\PhotoFiltre Studio X

2010-04-30 03:38 . 2010-04-30 03:38 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys

2010-04-30 03:38 . 2010-04-30 03:38 95024 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\SBREDrv.sys

2010-04-30 03:38 . 2010-04-30 03:38 566432 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\EmailScanner.dll

2010-04-30 03:38 . 2010-04-30 03:38 566608 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\sbap.dll

2010-04-30 03:38 . 2010-04-30 03:38 221920 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\VipreBridge.dll

2010-04-30 03:38 . 2010-04-30 03:38 17632 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\WSCUpdate.dll

2010-04-30 03:38 . 2010-04-30 03:38 1230160 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\SBTE.dll

2010-04-30 03:38 . 2010-04-30 03:38 247120 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\SBRE.dll

2010-04-30 03:37 . 2010-04-30 03:37 16456 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\EmailScannerBridge.dll

2010-04-30 03:37 . 2010-04-30 03:37 755096 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWWSC.exe

2010-04-30 03:35 . 2010-04-30 03:35 -------- d-----w- c:\documents and settings\SoSo\Local Settings\Application Data\Opera

2010-04-30 03:35 . 2010-04-30 03:35 -------- d-----w- c:\program files\Opera

2010-04-30 03:35 . 2010-04-30 03:35 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}

2010-04-30 03:35 . 2010-02-04 15:53 2954656 -c--a-w- c:\documents and settings\All Users\Application Data\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe

2010-04-30 03:33 . 2010-04-30 03:33 -------- d-----w- c:\program files\iPod

2010-04-30 03:33 . 2010-04-30 03:33 -------- d-----w- c:\program files\iTunes

2010-04-30 03:33 . 2010-04-30 03:33 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

2010-04-30 03:31 . 2010-04-30 03:31 -------- d-----w- c:\program files\Apple Software Update

2010-04-30 03:30 . 2010-04-30 03:30 -------- d-----w- c:\program files\Bonjour

2010-04-30 03:28 . 2010-04-30 03:38 893952 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\threatwork.exe

2010-04-30 03:28 . 2010-04-30 03:38 211600 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lavamessage.dll

2010-04-30 03:28 . 2010-04-30 03:38 15880 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe

2010-04-30 03:28 . 2010-04-30 03:38 574632 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\aawapi.dll

2010-04-30 03:28 . 2010-04-30 03:38 397480 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lavalicense.dll

2010-04-30 03:28 . 2010-04-30 03:38 443344 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\UpdateManager.dll

2010-04-30 03:28 . 2010-04-30 03:38 167824 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll

2010-04-30 03:27 . 2010-04-30 03:37 6306640 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Resources.dll

2010-04-30 03:27 . 2010-04-30 03:37 335728 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll

2010-04-30 03:27 . 2010-04-30 03:37 95248 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll

2010-04-30 03:27 . 2010-04-30 03:37 967640 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\CEAPI.dll

2010-04-30 03:27 . 2010-04-30 03:27 3803208 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AutoLaunch.exe

2010-04-30 03:27 . 2010-04-30 03:37 866224 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe

2010-04-30 03:27 . 2010-04-30 03:37 871320 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-04 16:39 . 2010-04-30 01:46 -------- d-----w- c:\documents and settings\SoSo\Application Data\Skype

2010-05-04 16:31 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-04 16:31 . 2001-08-28 12:00 380 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-04 15:44 . 2010-04-30 03:18 -------- d-----w- c:\documents and settings\SoSo\Application Data\Apple Computer

2010-05-03 01:42 . 2010-04-30 03:18 -------- d-----w- c:\documents and settings\SoSo\Application Data\Winamp

2010-04-30 03:45 . 2010-04-30 03:18 -------- d-----w- c:\program files\Winamp

2010-04-30 03:18 . 2010-04-30 03:18 -------- d-----w- c:\program files\Winamp Detect

2010-04-30 03:18 . 2010-04-30 03:18 -------- d-----w- c:\documents and settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

2010-04-30 02:37 . 2010-04-30 01:42 -------- d-----w- c:\program files\OLITEC

2010-04-30 02:02 . 2010-04-30 01:57 15890 ----a-w- c:\windows\system32\drivers\mdc8021x.sys

2010-04-30 01:52 . 2010-04-30 01:52 0 ----a-w- c:\windows\nsreg.dat

2010-04-30 01:43 . 2010-04-30 01:43 -------- d-----r- c:\program files\Skype

2010-04-30 01:43 . 2010-04-30 01:43 -------- d-----w- c:\program files\Fichiers communs\Skype

2010-04-30 01:43 . 2010-04-30 01:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2010-04-30 01:40 . 2010-04-30 01:40 -------- d-----w- c:\program files\Real Alternative

2010-04-30 01:40 . 2010-04-30 01:40 -------- d-----w- c:\documents and settings\All Users\Application Data\CyberLink

2010-04-30 01:40 . 2010-04-30 01:40 -------- d-----w- c:\program files\Fichiers communs\CyberLink

2010-04-30 01:40 . 2010-04-30 01:40 -------- d-----w- c:\program files\CyberLink

2010-04-30 01:40 . 2010-04-30 01:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Temp

2010-04-30 01:40 . 2010-04-30 01:40 505128 ----a-w- c:\windows\system32\msvcp71.dll

2010-04-30 01:40 . 2010-04-30 01:40 353576 ----a-w- c:\windows\system32\msvcr71.dll

2010-04-30 01:40 . 2010-04-30 01:40 29480 ----a-w- c:\windows\system32\msxml3a.dll

2010-04-30 01:40 . 2010-04-30 01:40 53319 ----a-w- c:\documents and settings\All Users\Application Data\Temp\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}\PostBuild.exe

2010-04-30 01:31 . 2010-04-30 03:11 507707 ----a-w- c:\documents and settings\All Users\Application Data\DivX\DivX7\DivX Plus DirectShow Filters\DivXDSFiltersUninstall.exe

2010-04-30 01:31 . 2010-04-30 03:11 507707 ----a-w- c:\documents and settings\All Users\Application Data\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe

2010-04-29 22:10 . 2008-04-13 17:33 219648 ----a-w- c:\windows\system32\uxtheme.dll

2010-04-29 21:53 . 2010-04-29 21:53 9158 ----a-r- c:\documents and settings\SoSo\Application Data\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe

2010-04-29 21:53 . 2010-04-29 21:53 -------- d-----w- c:\program files\Fichiers communs\ATI Technologies

2010-04-29 17:48 . 2010-04-29 17:03 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-04-29 17:04 . 2010-04-29 17:04 -------- d-----w- c:\program files\microsoft frontpage

2010-04-29 17:02 . 2010-04-29 17:02 -------- d-----w- c:\program files\Services en ligne

2010-04-29 17:00 . 2010-04-29 17:00 21892 ----a-w- c:\windows\system32\emptyregdb.dat

2010-04-29 17:00 . 2010-04-29 17:00 -------- d-----w- c:\program files\Windows Media Connect 2

2010-04-29 16:59 . 2010-04-29 16:59 297984 ----a-w- c:\windows\system32\termsrv32.dll

2010-04-28 13:45 . 2010-04-28 13:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

2010-04-09 20:48 . 2010-04-09 20:48 3600384 ----a-w- c:\windows\system32\GPhotos.scr

2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll

2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe

2010-03-10 06:16 . 2008-04-13 17:33 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll

2010-02-25 06:17 . 2008-03-01 12:58 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-24 13:11 . 2008-04-13 10:17 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-02-19 19:27 . 2010-02-19 19:27 720384 ----a-w- c:\windows\system32\DivX.dll

2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx0c.dll

2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx07.dll

2010-02-19 19:27 . 2010-02-19 19:27 847872 ----a-w- c:\windows\system32\divx_xx0a.dll

2010-02-19 19:27 . 2010-02-19 19:27 843776 ----a-w- c:\windows\system32\divx_xx16.dll

2010-02-19 19:27 . 2010-02-19 19:27 839680 ----a-w- c:\windows\system32\divx_xx11.dll

2010-02-16 19:06 . 2008-04-13 17:07 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-02-12 04:34 . 2008-04-13 17:33 100864 ----a-w- c:\windows\system32\6to4svc.dll

2010-02-11 12:02 . 2008-04-13 10:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys

.

 

------- Sigcheck -------

 

[-] 2008-04-13 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-04-13 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe

 

[-] 2008-05-09 . 33578A738C564B4F84D906EFD91025E5 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{33727f97-486d-4d19-97c3-23f432ef93fc}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

 

[HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33727f97-486d-4d19-97c3-23f432ef93fc}]

2009-11-09 16:38 2331672 ----a-w- c:\program files\mywebsites.pro-FR\tbmywe.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{33727f97-486d-4d19-97c3-23f432ef93fc}"= "c:\program files\mywebsites.pro-FR\tbmywe.dll" [2009-11-09 2331672]

 

[HKEY_CLASSES_ROOT\clsid\{33727f97-486d-4d19-97c3-23f432ef93fc}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

"Google Update"="c:\documents and settings\SoSo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-30 133104]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"Steam"="c:\program files\Steam\Steam.exe" [2010-04-30 1238352]

"ooVoo.exe"="c:\program files\ooVoo\oovoo.exe" [2010-02-10 18784440]

"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]

"ManyCam"="c:\program files\ManyCam 2.4\ManyCam.exe" [2009-12-19 1824040]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]

"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-11-19 1970176]

"RTHDCPL"="RTHDCPL.EXE" [2009-07-02 18665472]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-03 61440]

"DeathAdder"="c:\program files\Razer\DeathAdder\razerhid.exe" [2008-09-05 159744]

"Lycosa"="c:\program files\Razer\Lycosa\razerhid.exe" [2007-11-20 147456]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

"ACU"="c:\program files\OLITEC\ACU.exe" [2006-06-20 299008]

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]

"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-01-13 37888]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

c:\documents and settings\SoSo\Menu D‚marrer\Programmes\D‚marrage\

Outil de notification Live Search.lnk - c:\documents and settings\SoSo\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2010-4-30 143360]

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]

TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]

UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]

Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

 

c:\documents and settings\SoSo\Menu D‚marrer\Programmes\D‚marrage\

Outil de notification Live Search.lnk - c:\documents and settings\SoSo\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2010-4-30 143360]

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]

TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]

UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]

Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

"c:\\Program Files\\Steam\\steamapps\\common\\killingfloor\\System\\KillingFloor.exe"=

"c:\\Program Files\\Steam\\steamapps\\common\\unreal tournament 3\\Binaries\\UT3.exe"=

"c:\\Program Files\\Steam\\steamapps\\common\\call of duty modern warfare 2\\iw4sp.exe"=

"c:\\Program Files\\Steam\\steamapps\\common\\call of duty modern warfare 2\\iw4mp.exe"=

"c:\\Program Files\\Steam\\steamapps\\franklin37100\\day of defeat source\\hl2.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"443:UDP"= 443:UDP:*:Disabled:UDP port 443 ooVoo

"37674:TCP"= 37674:TCP:*:Disabled:TCP port 37674 ooVoo

"37674:UDP"= 37674:UDP:*:Disabled:UDP port 37674 ooVoo

"37675:UDP"= 37675:UDP:*:Disabled:UDP port 37675 ooVoo

"37676:TCP"= 37676:TCP:*:Disabled:TCP port 37676 ooVoo

"37676:UDP"= 37676:UDP:*:Disabled:UDP port 37676 ooVoo

"37677:UDP"= 37677:UDP:*:Disabled:UDP port 37677 ooVoo

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

"4819:TCP"= 4819:TCP:Services

"8138:TCP"= 8138:TCP:Services

"3389:TCP"= 3389:TCP:Remote Desktop

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/04/2010 03:22 64288]

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\program files\CyberLink\PowerDVD8\000.fcl [27/06/2008 16:50 61424]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/04/2010 03:25 108289]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [04/02/2010 17:52 1285864]

R3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [29/04/2010 23:59 22784]

R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [30/04/2010 00:01 16128]

R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14/01/2008 12:06 21632]

S2 gupdate1cae80399b0dcb2;Google Update Service (gupdate1cae80399b0dcb2);c:\program files\Google\Update\GoogleUpdate.exe [30/04/2010 03:22 133104]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [29/04/2010 23:46 1684736]

S3 ATHFMWDL;Atheros USB Wireless Adapter Bootloader driver;c:\windows\system32\drivers\Athfmwdl.sys [30/04/2010 04:37 43392]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/01/2010 17:45 243056]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30/04/2010 03:31 691696]

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-04 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 03:37]

 

2010-05-01 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

 

2010-05-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-30 01:22]

 

2010-05-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-30 01:22]

 

2010-05-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1604221776-1417001333-1003Core.job

- c:\documents and settings\SoSo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-04-30 02:57]

 

2010-05-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1604221776-1417001333-1003UA.job

- c:\documents and settings\SoSo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-04-30 02:57]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://myhomewebs.com

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

FF - ProfilePath - c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\

FF - prefs.js: browser.search.selectedEngine - Live Search

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=

FF - component: c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\glasser@sixxgate.com\components\dwmxpcom.dll

FF - component: c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\components\coolirisstub.dll

FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - plugin: c:\documents and settings\SoSo\Application Data\Mozilla\Firefox\Profiles\waurlaqm.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll

FF - plugin: c:\documents and settings\SoSo\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

AddRemove-eBay Icon - c:\documents and settings\SoSo\Application Data\Desktopicon\uninst.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-04 18:37

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]

"ImagePath"="\??\c:\docume~1\SoSo\LOCALS~1\Temp\ASFWHide"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]

"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(760)

c:\windows\system32\Ati2evxx.dll

 

- - - - - - - > 'explorer.exe'(3884)

c:\windows\system32\SHDOCVW.dll

c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll

c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\NETSHELL.dll

c:\windows\system32\credui.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\acs.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\RTHDCPL.EXE

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program files\Razer\DeathAdder\razertra.exe

c:\program files\Razer\Lycosa\razertra.exe

c:\program files\Razer\DeathAdder\razerofa.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

c:\documents and settings\SoSo\Local Settings\Application Data\Google\Update\1.2.183.23\GoogleCrashHandler.exe

c:\documents and settings\SoSo\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\system32\wscntfy.exe

c:\program files\Lavasoft\Ad-Aware\AAWTray.exe

.

**************************************************************************

.

Heure de fin: 2010-05-04 18:43:49 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-05-04 16:43

 

Avant-CF: 101 563 744 256 octets libres

Après-CF: 101 502 599 168 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - 6100CDAFE0CDF12BA81C33901553956D

 

 

Donc après tout ça, je ne sais pas quoi faire ni ce qu'il faut lire sachant que (je le rappelle) je n'y connais strictement rien en ce genre de chose.

 

Bref, j'aimerai savoir si il y a quelque chose d'autre à faire ou quoi que ce soit d'autre.

 

Merci de vos réponses.

 

Elric

[Elric_Brothers]

Personne pour m'aider ?

 

Bon je peux comprendre que vous soyez débordé (en même temps je pense ne pas être le seul à avoir des m***** sur mon PC).

 

Voici le rapport au cas où il y a besoin de Hijack

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 00:24:30, on 05/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Razer\DeathAdder\razerhid.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Razer\Lycosa\razerhid.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\OLITEC\ACU.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\DivX\DivX Update\DivXUpdate.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Razer\Lycosa\razertra.exe

C:\Program Files\Razer\DeathAdder\razertra.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Razer\DeathAdder\razerofa.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\ooVoo\oovoo.exe

C:\Documents and Settings\SoSo\Local Settings\Application Data\Google\Update\1.2.183.23\GoogleCrashHandler.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\Documents and Settings\SoSo\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\Documents and Settings\SoSo\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Documents and Settings\SoSo\Bureau\gmer.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Avira\AntiVir Desktop\avwsc.exe

E:\Recup\Logiciels\Après formatage\Securité\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://myhomewebs.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Splitcam Toolbar\tbcore3.dll

O3 - Toolbar: mywebsites.pro-FR Toolbar - {33727f97-486d-4d19-97c3-23f432ef93fc} - C:\Program Files\mywebsites.pro-FR\tbmywe.dll

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe

O4 - HKLM\..\Run: [Lycosa] "C:\Program Files\Razer\Lycosa\razerhid.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\SoSo\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] "C:\Program Files\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\oovoo.exe /minimized

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [ManyCam] "C:\Program Files\ManyCam 2.4\ManyCam.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\SoSo\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: OLITEC Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Update Service (gupdate1cae80399b0dcb2) (gupdate1cae80399b0dcb2) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 11564 bytes

 

Encore une fois je ne sais pas trop où voir l'infection (s'il y en a une).

[Elric_Brothers]

Petite précision en plus.

 

Je viens de remarquer que cela ne m'arrivais qu'au moment où je vais sur internet ou même lorsque la connexion avec ma borne Wifi est établie. En gros, mon PC se fige plus principalement au bout de 15 à 20 minutes et c'est partir de ce moment que je fais ce fameux reset.

 

Si cela peut vous aidez...

 

Merci à vous .

[Mark]

Bonjour Elric_Brothers ; je te souhaite la bienvenue sur nos forums

 

Désolé pour le délai. La charge de travail est... passablement lourde.

 

Désolé pour le formatage causé par Bagle aussi ; l'infection se traite assez bien sur les forums, généralement.

 

Ce coup-ci, c'est autre chose. Tu avais une infection du Master Boot Record, que ComboFix a nettoyée, mais juste partiellement, d'après ce que je vois.

 

Tu sembles également avoir une version altérée de Windows XP, ce qui peut gêner les manipulations de désinfection. On verra... Je te propose un outil simple à lancer, pour l'instant :

==========

 

Télécharge l'outil suivant (de noahdfear) sur ton Bureau :

http://noahdfear.net/downloads/HAMeb_check.exe

 

> Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse.

 

Question : utilises-tu le Bureau à Distance sur cette machine, pour des prises de contrôle à distance ?

 

@+

 

Mark

[Elric_Brothers]

Tu sembles également avoir une version altérée de Windows XP, ce qui peut gêner les manipulations de désinfection.

 

Je confirme...personne ne peut être blanc comme neige :/. Cela dit, je compte me procurer un Windows Seven sous peu de temps histoire de me sentir l'esprit tranquille d'avoir une licence, une VRAIE.

 

Désolé pour le délai. La charge de travail est... passablement lourde.

 

Je peux le comprendre mais en tout cas sincèrement merci de prendre en charge mon problème avec professionnalisme .

 

Question : utilises-tu le Bureau à Distance sur cette machine, pour des prises de contrôle à distance ?

 

Du tout.

 

Je commence la manipulation, merci encore.

[Elric_Brothers]

Me revoilà, j'ai un peu galéré sur mon autre PC (celui qui est infecté), il avait du mal à lancer la clef USB avec l'application que tu m'as filé. De toute façon depuis que cette infection, mon PC se comporte bizarrement et est de plus en plus lent...bizarre ?

 

C:\Documents and Settings\SoSo\Bureau\HAMeb_check.exe

05/05/2010 at 2:42:48,09

 

Compteÿ: actif Oui

Appartient aux groupes locaux *Administrateurs

 

~~ Checking profile list ~~

 

S-1-5-21-299502267-1604221776-1417001333-1000

%SystemDrive%\Documents and Settings\HelpAssistant

 

~~ Checking for HelpAssistant directories ~~

 

HelpAssistant

 

~~ Checking mbr ~~

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS

kernel: MBR read successfully

user & kernel MBR OK

copy of MBR has been found in sector 0x012A14C00

malicious code @ sector 0x012A14C03 !

PE file found in sector at 0x012A14C19 !

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll present!

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters

ServiceDll REG_EXPAND_SZ %SystemRoot%\System32\termsrv.dll

 

~~ Checking firewall ports ~~

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]

"65533:TCP"=65533:TCP:*:Enabled:Services

"52344:TCP"=52344:TCP:*:Enabled:Services

"4819:TCP"=4819:TCP:*:Enabled:Services

"8138:TCP"=8138:TCP:*:Enabled:Services

"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"65533:TCP"=65533:TCP:*:Enabled:Services

"52344:TCP"=52344:TCP:*:Enabled:Services

"4819:TCP"=4819:TCP:*:Enabled:Services

"8138:TCP"=8138:TCP:*:Enabled:Services

"3389:TCP"=3389:TCP:*:Enabled:Remote Desktop

 

 

~~ EOF ~~

[Mark]

Merci pour ce rapport, et les détails

 

En souhaitant que la machine infectée tienne le coup, voici la suite :

===============

 

Avis aux visiteurs : cette procédure est personnalisée pour la machine d'Elric _Brothers

 

*Important : il faut suivre les instructions suivantes à la lettre, selon la séquence prescrite. Prière d'imprimer les instructions car aucun programme sauf l'outil ne doit être lancé durant la procédure, navigateur inclus. Dans ton cas, tu peux probablement suivre via la machine saine ; c'est Oké. Je t'invite à lire les instructions d'abord, puis tu pourras les exécuter.

 

Télécharge l'outil suivant et sauvegarde-le sur le Bureau (merci à noahdfear) :

http://noahdfear.net/downloads/HelpAsst/He...mebroot_fix.exe

(pour XP seulement)

 

- Ferme tous les programmes lancés/ouverts.

- Lance l'outil par double-clic et suis les invites.

- Si l'outil détecte un infection du MBR : permets-lui de lancer "mbr -f" et ensuite d'éteindre la machine.

- Après redémarrage, patiente 5 minutes (n'ouvre ou ne lance rien), et ensuite fais ceci :

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

helpasst -mbrt

 

(il y a un espace après "helpasst")

 

- L'outil va tourner, puis produire un rapport ;

- Copie/colle le contenu de ce rapport ici, dans ta réponse.

 

**Si l'outil ne détecte pas d'infection du MBR et complète sa routine sans redémarrer la machine :

 

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

mbr -f

 

(il y a un espace après "mbr")

 

- Prière de refaire l'étape ci-haut une seconde fois (exécuter la commande mbr -f)

- Maintenant, éteinds la machine (pas un redémarrage, mais un arrêt).

- Attends quelques minutes (3 ou 4), puis démarre la machine à nouveau ;

- Patiente 5 minutes, après le démarrage (ne lance rien).

> Clique sur le bouton "Démarrer" >> "Exécuter...", puis tape la ligne suivante et clique "OK" :

 

helpasst -mbrt

 

(il y a un espace après "helpasst")

 

- L'outil va tourner, puis produire un rapport ;

- Copie/colle le contenu de ce rapport ici, dans ta réponse.

=====

 

*Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé).

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Sur une note un peu plus légère, j'ai une autre question pour toi : quel(s) processeur(s) tournent sur ta machine actuellement ? Ma boule de cristal me dit qu'il y a 8 coeurs actifs, mais j'ai peine à y croire

 

Te gêne surtout pas si tu as des questions, avant de foncer.

 

Bon succès, et à bientôt.

 

Mark

[Elric_Brothers]

Merci de ta réponse.

 

Pour répondre à ta question je tourne sur un Core i7 860 monté sur un ventirad Noctua (je ne sais plus la réf.). Cela dit au passage, mon PC en a connu des galères donc bon, j'espère que sur ce coup il tiendra.

 

Bref venons-en au rapport.

 

Donc, ton application n'a détectée l'infection du MBR, ce qui nous amène à la deuxième solution ( ** ), après un arrêt complet du PC et l'avoir laissé 5 minutes se reposer comme prévu dans les explications, j'ai donc obtenu le rapport après lancement de la commande "helpasst -mbr".

 

Voici le rapport Helpasst ci-dessous :

 

C:\Documents and Settings\SoSo\Bureau\HelpAsst_mebroot_fix.exe

05/05/2010 at 11:47:36,31

 

HelpAssistant account is Active ~ attempting to de-activate

 

Compteÿ: actif Oui

Appartient aux groupes locaux *Administrateurs

 

HelpAssistant successfully set Inactive

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll present! ~ attempting to remove

termsrv32.dll successfully removed

 

~~ Checking firewall ports ~~

 

backing up DomainProfile\GloballyOpenPorts\List registry key

closing rogue ports

 

HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\globallyopenports\list

"65533:TCP"=-

"52344:TCP"=-

"4819:TCP"=-

"8138:TCP"=-

"3389:TCP"=-

 

backing up StandardProfile\GloballyOpenPorts\List registry key

closing rogue ports

 

HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\globallyopenports\list

"65533:TCP"=-

"52344:TCP"=-

"4819:TCP"=-

"8138:TCP"=-

"3389:TCP"=-

 

~~ Checking profile list ~~

 

HelpAssistant profile found in registry ~ backing up and removing S-1-5-21-299502267-1604221776-1417001333-1000

HelpAssistant profile directory exists at C:\Documents and Settings\HelpAssistant ~ attempting to remove

~ All C:\Documents and Settings\HelpAssistant files successfully removed ~

 

~~ Checking mbr ~~

 

user & kernel MBR OK

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Status check on 05/05/2010 at 12:30:39,23

 

Compteÿ: actif Non

Appartient aux groupes locaux

 

~~ Checking mbr ~~

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS

kernel: MBR read successfully

user & kernel MBR OK

copy of MBR has been found in sector 0x012A14C00

malicious code @ sector 0x012A14C03 !

PE file found in sector at 0x012A14C19 !

 

~~ Checking for termsrv32.dll ~~

 

termsrv32.dll not found

 

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\termservice\parameters

ServiceDll REG_EXPAND_SZ %systemroot%\System32\termsrv.dll

 

~~ Checking profile list ~~

 

No HelpAssistant profile in registry

 

~~ Checking for HelpAssistant directories ~~

 

none found

 

~~ Checking firewall ports ~~

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

 

 

~~ EOF ~~

Modifié le 5 mai 2010 par Elric_Brothers

[Elric_Brothers]

Petit up au passage (je ne veux pas non être la priorité non plus, je suis conscient que je ne suis pas tout seul ayant des problèmes...).