[Résolu] Infection PC => Antimalware Doctor

[tygwen]

ComboFix 10-09-09.04 - Jonah 10/09/2010 19:42:17.1.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.511.178 [GMT 2:00]

Lancé depuis: c:\documents and settings\Jonah\Bureau\tygwen.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E58E8-FFA4-00C8-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00C8-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Documents\_desktop.ini

c:\documents and settings\All Users\Documents\Adobe PDF\_desktop.ini

c:\documents and settings\All Users\Documents\Adobe PDF\Extras\_desktop.ini

c:\documents and settings\All Users\Documents\Adobe PDF\Settings\_desktop.ini

c:\documents and settings\All Users\Documents\Ma musique\_desktop.ini

c:\documents and settings\All Users\Documents\Ma musique\Échantillons de musique\_desktop.ini

c:\documents and settings\All Users\Documents\Ma musique\My Playlists\_desktop.ini

c:\documents and settings\All Users\Documents\Ma musique\Sample Playlists\_desktop.ini

c:\documents and settings\All Users\Documents\Ma musique\Sample Playlists\000EE22E\_desktop.ini

c:\documents and settings\All Users\Documents\Mes images\Échantillons d'images\_desktop.ini

c:\documents and settings\All Users\Documents\Mes vidéos\_desktop.ini

c:\documents and settings\Jonah\Application Data\E657EDD34012F9FE266935EC785DE205

c:\documents and settings\Jonah\Application Data\E657EDD34012F9FE266935EC785DE205\enemies-names.txt

c:\documents and settings\Jonah\Application Data\E657EDD34012F9FE266935EC785DE205\local.ini

c:\documents and settings\Jonah\Application Data\E657EDD34012F9FE266935EC785DE205\lsrslt.ini

c:\documents and settings\Jonah\Menu Démarrer\Programmes\Antimalware Doctor

c:\documents and settings\Jonah\Menu Démarrer\Programmes\Antimalware Doctor\Antimalware Doctor.lnk

c:\documents and settings\Jonah\Menu Démarrer\Programmes\Antimalware Doctor\Uninstall.lnk

c:\documents and settings\Jonah\timeseal.exe

c:\windows\system32\scrrnfr.dll

c:\windows\system32\sstray.exe

 

Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-10 au 2010-09-10 ))))))))))))))))))))))))))))))))))))

.

 

2010-09-30 18:21 . 2010-09-08 05:21 500104 ----a-w- c:\windows\system32\perfh040.dat

2010-09-30 18:21 . 2010-09-08 05:21 80360 ----a-w- c:\windows\system32\perfc040.dat

2010-09-30 07:29 . 2010-09-09 11:11 -------- d-----w- c:\documents and settings\Jonah\Local Settings\Application Data\vvlcamwbq

2010-09-30 07:29 . 2010-09-09 11:11 -------- d-----w- c:\documents and settings\Jonah\Application Data\vvlcamwbq

2010-09-10 17:44 . 2010-09-10 17:44 153600 ----a-w- c:\documents and settings\All Users\Application Data\packautoapi.exe

2010-09-09 11:15 . 2010-09-09 11:15 -------- d-----w- c:\program files\trend micro

2010-09-09 11:15 . 2010-09-09 11:15 -------- d-----w- C:\rsit

2010-09-09 11:11 . 2010-09-09 11:11 153600 ----a-w- c:\windows\propaudiomsg.exe

2010-09-09 05:24 . 2010-09-09 05:24 -------- d-----w- c:\documents and settings\Jonah\Application Data\Malwarebytes

2010-09-09 05:24 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-09 05:24 . 2010-09-09 05:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-09-09 05:24 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-09-01 17:12 . 2010-09-01 17:12 -------- d-----w- c:\program files\Enigma Software Group

2010-09-01 17:11 . 2010-09-09 17:02 -------- d-----w- c:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-01 10:16 . 2010-01-03 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-09-30 20:37 . 2006-12-19 18:11 69984 ----a-w- c:\documents and settings\Jonah\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-09-30 18:14 . 2010-06-27 20:36 -------- d-----w- c:\documents and settings\Jonah\Application Data\uTorrent

2010-09-30 18:14 . 2007-10-29 18:19 -------- d-----w- c:\program files\ConTEXT

2010-09-30 18:14 . 2007-02-03 15:13 -------- d-----w- c:\program files\GoldWave

2010-09-30 18:14 . 2006-12-19 19:12 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-09-30 16:33 . 2006-12-19 20:59 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-09-08 05:21 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat

2010-09-08 05:21 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat

2010-09-05 15:42 . 2009-12-04 21:29 -------- d-----w- c:\documents and settings\Jonah\Application Data\vlc

2010-09-05 03:53 . 2007-02-02 10:54 -------- d-----w- c:\documents and settings\Jonah\Application Data\dvdcss

2010-09-01 17:11 . 2007-12-02 19:11 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2010-06-25 18:16 . 2010-06-25 18:16 15962 ----a-w- c:\windows\W2BNEUnin.dat

2010-06-25 18:16 . 2010-06-25 18:16 98304 ----a-w- c:\windows\W2BNEUnin.exe

2010-06-25 18:16 . 2010-06-25 18:16 2829 ----a-w- c:\windows\W2BNEUnin.pif

2006-05-03 09:06 . 2007-11-24 14:56 163328 --sh--r- c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2007-11-24 14:56 31232 --sh--r- c:\windows\system32\msfDX.dll

2008-03-16 12:30 . 2008-11-28 10:25 216064 --sh--r- c:\windows\system32\nbDX.dll

.

 

------- Sigcheck -------

 

[-] 2009-12-21 . FE1B72EA7D56047544F71E6561E92D6B . 5942784 . . [8.00.6001.18876] . . c:\windows\system32\mshtml.dll

[-] 2009-12-21 . FE1B72EA7D56047544F71E6561E92D6B . 5942784 . . [8.00.6001.18876] . . c:\windows\system32\dllcache\mshtml.dll

[7] 2009-02-21 . D79AEC545A98057155099FB69BB3C4D3 . 3596800 . . [7.00.6000.21015] . . c:\windows\$hf_mig$\KB963027-IE7\SP3QFE\mshtml.dll

[7] 2009-02-20 . 78068F040272D5EEF5198B3C75DD4D99 . 3595264 . . [7.00.6000.16825] . . c:\windows\ie8\mshtml.dll

[7] 2009-01-16 . 0975BFBBCF2639C8BB5C0790F020DE6C . 3594752 . . [7.00.6000.16809] . . c:\windows\ie7updates\KB963027-IE7\mshtml.dll

[7] 2009-01-16 . F386435C5E0A5D86E9F90B659D4F6075 . 3596288 . . [7.00.6000.20996] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\mshtml.dll

[7] 2008-08-27 . 3CCDB836BBAB800FDED3181AF7EED38F . 3593216 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB961260-IE7\mshtml.dll

[7] 2008-08-26 . 0F345A2FE55C3DC9693AAAF2E983F4AD . 3594752 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\mshtml.dll

[7] 2008-04-14 . C4153F037157C7BE7C54FD88887F027D . 3066880 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\mshtml.dll

[7] 2007-10-30 . EB4E53C96D5FB4A9A3F1EAEB782D8862 . 3593216 . . [7.00.6000.20710] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\mshtml.dll

[7] 2007-10-30 . 89397AFC934A509580FF089035E71DA8 . 3590656 . . [7.00.6000.16587] . . c:\windows\ie7updates\KB956390-IE7\mshtml.dll

[-] 2007-08-22 . 8DCC33B8D7E1C3ECD4DC3F9A9B8493D3 . 3079168 . . [6.00.2900.3199] . . c:\windows\ie7\mshtml.dll

[-] 2007-08-22 . 6B815842B4A9CDED3D7E9846639E69FA . 3085824 . . [6.00.2900.3199] . . c:\windows\$hf_mig$\KB939653\SP2QFE\mshtml.dll

[7] 2007-08-20 . 12357B36CB76D754FB9AE7822A64A03D . 3584512 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\mshtml.dll

[7] 2007-08-20 . 12357B36CB76D754FB9AE7822A64A03D . 3584512 . . [7.00.6000.16544] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2GDR\mshtml.dll

[7] 2007-08-20 . D9481E937D5BE0B2D5DBCD87745E925A . 3592192 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\mshtml.dll

[7] 2007-08-20 . D9481E937D5BE0B2D5DBCD87745E925A . 3592192 . . [7.00.6000.20661] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2QFE\mshtml.dll

[7] 2007-08-13 . C6EC2493346ED8888A549F59210A8ED3 . 3578368 . . [7.00.5730.13] . . c:\windows\ie7updates\KB939653-IE7\mshtml.dll

[-] 2007-06-15 . CA8215FF55022B47D6948C4BB09E8D52 . 3085312 . . [6.00.2900.3157] . . c:\windows\$hf_mig$\KB937143\SP2QFE\mshtml.dll

[-] 2007-05-04 . BE930AD339B283D83030BD7E67D1CCFD . 3085312 . . [6.00.2900.3132] . . c:\windows\$hf_mig$\KB933566\SP2QFE\mshtml.dll

[-] 2007-02-19 . 942AB79C4A9DDEED3FE39C424967B91B . 3084288 . . [6.00.2900.3086] . . c:\windows\$hf_mig$\KB931768\SP2QFE\mshtml.dll

[-] 2007-01-04 . 1703F708C9D604CDD3D8C199861DC2E4 . 3083264 . . [6.00.2900.3059] . . c:\windows\$hf_mig$\KB928090\SP2QFE\mshtml.dll

[-] 2006-10-23 . EE542871960ACFD459F4113B1BCC6C10 . 3082240 . . [6.00.2900.3020] . . c:\windows\$hf_mig$\KB925454\SP2QFE\mshtml.dll

[7] 2004-08-19 . 7CA9E0D2C4DCA6B710FD57F40E597337 . 3003392 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\mshtml.dll

 

[-] 2009-12-21 . A8D4AB4ECD850013612E2B6F96EF2394 . 916480 . . [8.00.6001.18876] . . c:\windows\system32\wininet.dll

[-] 2009-12-21 . A8D4AB4ECD850013612E2B6F96EF2394 . 916480 . . [8.00.6001.18876] . . c:\windows\system32\dllcache\wininet.dll

[7] 2009-03-03 . 39F71B559A97ED722F939A0EA7235323 . 828416 . . [7.00.6000.21020] . . c:\windows\$hf_mig$\KB963027-IE7\SP3QFE\wininet.dll

[7] 2009-03-03 . 68A2567FDD62AE7E31D8A885C5173EF9 . 826368 . . [7.00.6000.16827] . . c:\windows\ie8\wininet.dll

[7] 2008-12-20 . 4E192082A5FCE9EF19198A24CDEA3442 . 827904 . . [7.00.6000.20978] . . c:\windows\$hf_mig$\KB961260-IE7\SP2QFE\wininet.dll

[7] 2008-12-20 . 0551C946E305CEE0A79BA744DC141BFC . 826368 . . [7.00.6000.16791] . . c:\windows\ie7updates\KB963027-IE7\wininet.dll

[7] 2008-08-26 . 4B0E70D44297877A313045BD059770E1 . 827904 . . [7.00.6000.20900] . . c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll

[7] 2008-08-26 . E30CACD98479B36A3DBFA3267BF62DD0 . 826368 . . [7.00.6000.16735] . . c:\windows\ie7updates\KB961260-IE7\wininet.dll

[7] 2008-04-14 . 4A6E04EA20F48D750D9BFED8600D516B . 670208 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\wininet.dll

[7] 2007-10-10 . BC5119C53BDD48DABC628D448A3BDCCB . 824832 . . [7.00.6000.16574] . . c:\windows\ie7updates\KB956390-IE7\wininet.dll

[7] 2007-10-10 . 871AE10D6AE8877E9636AE5017953D52 . 825344 . . [7.00.6000.20696] . . c:\windows\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll

[-] 2007-08-22 . 18048557AA56DE4B1955FDF7A21F9B24 . 663040 . . [6.00.2900.3199] . . c:\windows\ie7\wininet.dll

[-] 2007-08-22 . 4F6A45B54D26708E2C2BF2C43D83EDEA . 669696 . . [6.00.2900.3199] . . c:\windows\$hf_mig$\KB939653\SP2QFE\wininet.dll

[7] 2007-08-20 . F6DFCEED3A7AA4C9EEB966D3F1ADC70A . 824832 . . [7.00.6000.16544] . . c:\windows\ie7updates\KB942615-IE7\wininet.dll

[7] 2007-08-20 . F6DFCEED3A7AA4C9EEB966D3F1ADC70A . 824832 . . [7.00.6000.16544] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2GDR\wininet.dll

[7] 2007-08-20 . 2DD1B0F579C80562EDCB8848FF7EA9F6 . 825344 . . [7.00.6000.20661] . . c:\windows\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll

[7] 2007-08-20 . 2DD1B0F579C80562EDCB8848FF7EA9F6 . 825344 . . [7.00.6000.20661] . . c:\windows\SoftwareDistribution\Download\36e241a7c6880a9ebdbe78b98d36306d\SP2QFE\wininet.dll

[7] 2007-08-13 . A4A0FC92358F39538A6494C42EF99FE9 . 818688 . . [7.00.5730.13] . . c:\windows\ie7updates\KB939653-IE7\wininet.dll

[-] 2007-06-26 . 19058FBDC72F7BAE085369C6D0A7D074 . 669696 . . [6.00.2900.3164] . . c:\windows\$hf_mig$\KB937143\SP2QFE\wininet.dll

[-] 2007-04-18 . A3BF56A786B277E881FD9137F55F0B4B . 669696 . . [6.00.2900.3121] . . c:\windows\$hf_mig$\KB933566\SP2QFE\wininet.dll

[-] 2007-02-19 . 1BDE6D5DBA35797ECA8DB8FCB80FC015 . 669696 . . [6.00.2900.3086] . . c:\windows\$hf_mig$\KB931768\SP2QFE\wininet.dll

[-] 2007-01-04 . 114342601AC7EA73B0D2A0ED8505B8B9 . 669184 . . [6.00.2900.3059] . . c:\windows\$hf_mig$\KB928090\SP2QFE\wininet.dll

[-] 2006-10-23 . EFA0C2870CBA1747809A13E09F35BF82 . 668672 . . [6.00.2900.3020] . . c:\windows\$hf_mig$\KB925454\SP2QFE\wininet.dll

[7] 2004-08-19 . 4E958B97EFC3D801F49283D1820F48B7 . 660480 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\wininet.dll

 

[7] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe

[-] 2007-06-13 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

 

c:\windows\explorer.exe ... manque !!

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"*packautoapi.exe"="c:\documents and settings\All Users\Application Data\packautoapi.exe" [2010-09-10 153600]

"*propaudiomsg.exe"="c:\windows\propaudiomsg.exe" [2010-09-09 153600]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

WlanUtility.lnk.disabled [2007-10-6 768]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4400 Series]

2007-03-01 06:01 180736 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATICAE.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

2009-03-05 15:07 2260480 --sha-r- e:\spybot - search & destroy\TeaTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier.exe]

2003-04-24 22:03 683520 ----a-w- c:\program files\SuperCopier\SuperCopier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

2009-11-13 11:31 247144 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ckaxpsru"=c:\documents and settings\Jonah\Application Data\vvlcamwbq\vpxvkuoshdw.exe

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe"

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" /min

"ckaxpsru"=c:\documents and settings\Jonah\Application Data\vvlcamwbq\vpxvkuoshdw.exe

"DiskeeperSystray"="c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

"LogMeIn Hamachi Ui"="E:\hamachi-2-ui.exe" --auto-start

"nForce Tray Options"=sstray.exe /r

"SpybotSnD"="e:\spybot - search & destroy\SpybotSD.exe" /autocheck

"SpyHunter Security Suite"=c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\TYPSoft FTP Server\\ftpserv.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\system32\\sessmgr.exe"=

"e:\\Age of empires\\age2_x1\\_age2_x1.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"e:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\aMSN\\bin\\wish.exe"=

"e:\\Program Files\\Call of Duty\\CoDMP.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Adobe\\Adobe Help Center\\ahc.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\Age of empires\\age2_x1\\age2_x1.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"47624:TCP"= 47624:TCP:aoe2

"13139:UDP"= 13139:UDP:aoe1

 

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\si3112r.sys [19/12/2006 18:32 97408]

R0 SiWinAcc;SiWinAcc;c:\windows\system32\drivers\SiWinAcc.sys [19/12/2006 18:32 10240]

R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [07/12/2007 16:54 217208]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/05/2009 09:38 108289]

R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;e:\hamachi-2.exe -s --> e:\hamachi-2.exe -s [?]

R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]

S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]

S3 GAGPDrv;GAGPDrv; [x]

S3 maconfservice;Ma-Config Service; [x]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25/01/2007 19:31 42000]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19/12/2006 21:58 639224]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

IE: Download All Files by HiDownload

IE: Download by HiDownload

IE: E&xporter vers Microsoft Excel - e:\micros~1\Office12\EXCEL.EXE/3000

IE: Ouvrir le fichier PDF dans Word (PDF Converter 3.0) - c:\program files\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /300

FF - ProfilePath - c:\documents and settings\Jonah\Application Data\Mozilla\Firefox\Profiles\2weruy4l.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-AtiExtEvent - (no file)

Notify-crypt32chain - (no file)

Notify-cryptnet - (no file)

Notify-cscdll - (no file)

Notify-dimsntfy - (no file)

Notify-ScCertProp - (no file)

Notify-Schedule - (no file)

Notify-sclgntfy - (no file)

Notify-SensLogn - (no file)

Notify-termsrv - (no file)

Notify-wlballoon - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-09-10 19:53

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Diskeeper Corporation\Diskeeper\DkService.exe

c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

E:\hamachi-2.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

.

**************************************************************************

.

Heure de fin: 2010-09-10 19:59:41 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-09-10 17:59

 

Avant-CF: 911 183 872 octets libres

Après-CF: 913 137 664 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn /usepmtimer

 

- - End Of File - - D5D378B14C21A5ED1CFB552FE56A52E9

[tygwen]

j'arrive pas a arrêter antivir aussi.

je c'est pas si sa peu jouer un rôle. jai fait un copier coller de explorer.exe dans c:/windows pour regler quelque probleme

[Thanos]

ok ComboFix a déjà bien nettoyé (un fichier système infecté).

Je te prépare une procédure pour finaliser...

jai fait un copier coller de explorer.exe dans c:/windows pour regler quelque probleme

Depuis quel emplacement ?

[tygwen]

il se trouver sur mon bureau, je l'ai télécharger il y a une semaine quand il a disparu de mon ordi .

[Thanos]

ok et tu l'as mis dans le répertoire C:\Windows ? C'est important, pour savoir si je le restaure depuis un autre emplacement où non.

[tygwen]

oui dans c:/windows

[Thanos]

ok alors continue comme ceci stp =>

 

Rend toi sur cette page afin de télécharger le fichier CFScript => Download CFScript.txt from Sendspace.com - send big files the easy way

Clique sur le lien à droite de Download Link et télécharge le fichier sur ton Bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (tygwen.exe) comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Quand CF finit de s'exécuter, il affiche cette boîte de message:
  
  
• Cliquer sur OK va faire débuter l'envoi automatique du fichier archivé (zip).
  
  
• Une fois le scan achevé, le pc va certainement redémarrer: un rapport va s'afficher, poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note1: Le script proposé est adapté au cas de tygwen: Vous ne devez en aucun cas l'utiliser sur votre pc!

 

Note2: un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse.

Dans le cas où le site de téléchargement se trouve hors ligne, tu verras le message ci-dessous =>

Il te suffira seulement de faire un double clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier.

Le rapport de ComboFix ne s'affichera qu'après la fin de la fonction d'envoi.

[tygwen]

sa fait plus de 10 min que le logiciel dit qui va se lancer c'est normal ?

[Thanos]

ca peut être long parfois selon ce qui est demandé à ComboFix. Ceci dit, ca ne doit pas durer deux heures!

Patiente encore, ca devrait démarrer: tu postes depuis un autre pc j'imagine ?

[tygwen]

non j'utilise le même pc . bon j'ai laisser tourner le logiciel tout la nuit et il a pas bouger. du coup je lais arrêter se matin. je doit fair quoi ?