csrss.exe

[anarkita]

15:29:14:138 3720 TDSS rootkit removing tool 2.3.1.0 May 25 2010 12:52:14

15:29:14:138 3720 ================================================================================

15:29:14:138 3720 SystemInfo:

 

15:29:14:138 3720 OS Version: 6.0.6000 ServicePack: 0.0

15:29:14:138 3720 Product type: Workstation

15:29:14:138 3720 ComputerName: HULUL

15:29:14:139 3720 UserName: audrey

15:29:14:139 3720 Windows directory: C:\Windows

15:29:14:139 3720 Processor architecture: Intel x86

15:29:14:139 3720 Number of processors: 2

15:29:14:139 3720 Page size: 0x1000

15:29:14:141 3720 Boot type: Normal boot

15:29:14:141 3720 ================================================================================

15:29:14:165 3720 DropResourceW: MyNtCreateFileW(C:\Windows\system32\drivers\klmd.sys) error 5

15:29:14:166 3720 Driver load error!

15:29:14:166 3720 KLMD_Unload(ARK) error 87ila

[Apollo]

L'outil n'a pas terminé ou n'a pas fonctionné correctement.

 

Dans ton profil, il est indiqué XP; c'est bien ton système ou tu as un autre?

 

Vista? Seven? 32 ou 64 Bits?

[anarkita]

non je suis avec vista

 

 

je crois 32 bit mais je suis pas sur du tout

[Apollo]

Pour déterminer si votre ordinateur exécute Windows 32 ou 64 bits, procédez comme suit :

 

1. Pour ouvrir Système, cliquez sur le bouton Démarrer, sur Panneau de configuration, sur Système et maintenance, puis sur Système.

 

2. Sous Système, vous pouvez connaître le type de système.

[anarkita]

c'est bien 32 bits

[Apollo]

Ok,

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci panpan.
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur panpan.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

 

@++

[anarkita]

j'ai bien fermer toutes les application mais combofix refuse de se lancer car des application sont ouvertes

[Apollo]

Si tu restes en ligne, c'est certain que des appli sont en cours.

 

comboFix doit être lancé toutes fenêtres web fermées et protections antivirus etc fermées.

 

Si tu ne sais pas comment désactiver tout ça, lance ComboFix en mode sans échec.

 

http://www.vista-xp.fr/forum/topic93.html

 

Imprime les instructions pour ComboFix car tu n'uras pas accès au net (ou colle-les dans un fichier texte).

 

@++

[anarkita]

pourtant j'avais tout fermer

je me met en mode sans echec

[anarkita]

ComboFix 10-05-27.03 - audrey 28/05/2010 16:15:17.1.2 - x86 MINIMAL

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.1790.1368 [GMT 2:00]

Lancé depuis: c:\users\audrey\Desktop\panpan.exe

SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\users\audrey\revosetup.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-28 au 2010-05-28 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-28 14:21 . 2010-05-28 14:21 -------- d-----w- c:\users\audrey\AppData\Local\temp

2010-05-28 14:21 . 2010-05-28 14:21 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-05-28 14:12 . 2010-05-28 14:12 -------- d-----w- C:\panpan

2010-05-28 13:21 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-28 13:21 . 2010-05-28 13:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-28 13:21 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-26 15:04 . 2010-05-26 15:04 532480 ----a-w- c:\users\audrey\AppData\Roaming\Notepad++\plugins\config\plugin_install_temp\plugin1\plugins\PluginManager.dll

2010-05-26 15:04 . 2010-05-26 15:04 401408 ----a-w- c:\users\audrey\AppData\Roaming\Notepad++\plugins\config\plugin_install_temp\plugin1\updater\gpup.exe

2010-05-26 15:00 . 2010-05-26 15:04 -------- d-----w- c:\users\audrey\AppData\Roaming\Notepad++

2010-05-26 15:00 . 2010-05-26 15:03 -------- d-----w- c:\program files\Notepad++

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-28 13:21 . 2010-01-16 16:44 -------- d-----w- c:\programdata\Malwarebytes

2010-05-28 13:18 . 2010-01-16 16:44 -------- d-----w- c:\users\audrey\AppData\Roaming\Malwarebytes

2010-05-28 10:28 . 2008-02-26 11:21 -------- d-----w- c:\program files\Morgan

2010-05-25 17:01 . 2008-11-30 23:01 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2010-05-23 20:35 . 2009-05-13 13:56 104030 ----a-w- c:\programdata\nvModes.dat

2010-04-23 10:36 . 2006-11-02 15:48 690832 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-23 10:36 . 2006-11-02 15:48 117572 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-13 19:42 . 2010-01-13 00:07 -------- d-----w- c:\users\audrey\AppData\Roaming\codeblocks

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-17 845360]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-15 149280]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-03 13556256]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-03 92704]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"GrpConv"="grpconv -o" [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"EnableShellExecuteHooks"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=eNetHook.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk

backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eAudio]

2007-06-11 12:54 1286144 ------w- c:\acer\Empowering Technology\eAudio\eAudio.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]

2007-04-25 15:33 457216 ----a-w- c:\acer\Empowering Technology\eDataSecurity\eDSLoader.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2006-12-10 19:52 49152 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]

2007-06-07 10:01 752400 ----a-w- c:\progra~1\LAUNCH~1\LManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]

2002-12-15 03:01 53248 ----a-r- c:\windows\System32\MMTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray2K]

2002-12-15 03:01 57344 ----a-r- c:\windows\System32\MMTray2k.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTrayLSI]

2002-12-15 03:01 53248 ----a-r- c:\windows\System32\MMTrayLSI.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

2008-12-03 19:12 13556256 ----a-w- c:\windows\System32\nvcpl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2008-12-03 19:12 92704 ----a-w- c:\windows\System32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]

2008-12-03 19:12 711200 ----a-w- c:\windows\System32\nvsvc.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayMovie]

2007-05-03 09:16 206952 ------w- c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]

2007-05-18 07:24 4468736 ----a-w- c:\windows\RtHDVCpl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]

2008-04-21 23:22 1232896 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

2007-05-17 00:44 845360 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]

2006-11-05 19:48 57344 ----a-w- c:\acer\WR_PopUp\WarReg_PopUp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

2007-09-22 21:14 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-463070311-2413792070-1637265159-1000]

"EnableNotificationsRef"=dword:00000001

 

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2009-12-05 223312]

R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2009-12-05 24656]

R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl [2006-11-02 13560]

R2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\OAcat.exe [2009-12-05 1282248]

R2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [2009-12-05 3291336]

R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]

S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-05-16 32256]

 

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - ECACHE

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com/

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

mStart Page = hxxp://fr.fr.acer.yahoo.com

uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: mappy.com

Trusted Zone: orange.fr

Trusted Zone: voila.fr\rw.search.ke

Trusted Zone: weborama.fr\orange

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-RunOnce-<NO NAME> - (no file)

HKU-Default-Run-Acer Tour Reminder - c:\acer\AcerTour\Reminder.exe

ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)

MSConfigStartUp-Acer Tour Reminder - c:\acer\AcerTour\Reminder.exe

MSConfigStartUp-ccApp - c:\program files\Common Files\Symantec Shared\ccApp.exe

MSConfigStartUp-IS CfgWiz - c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe

MSConfigStartUp-osCheck - c:\program files\Norton Internet Security\osCheck.exe

MSConfigStartUp-SetPanel - c:\acer\APanel\APanel.cmd

MSConfigStartUp-Trickler - c:\program files\divx\divx pro codec\gain_trickler_3202c.exe

AddRemove-WinGimp-2.0_is1 - c:\program files\GIMP-2.0\setup\unins000.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-28 16:21

Windows 6.0.6000 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]

"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Heure de fin: 2010-05-28 16:24:07

ComboFix-quarantined-files.txt 2010-05-28 14:24

 

Avant-CF: 31 140 769 792 octets libres

Après-CF: 30 844 870 656 octets libres

 

- - End Of File - - E9405C0143A521249BBC872C395FD37D