WORM/autorun.bzty

[pear]

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

 

File::

C:\xdx.exe

Fcopy::

C:\FR-files\lsass.exe | C:\WINDOWS\system32\dllcache\lsass.exe

C:\FR-files\Explorer.EXE | C:\WINDOWS\system32\dllcache\Explorer.EXE

Dirlook::

C:\01e38dde97ae52e84e1e

C:\4bd8c7e8affd1942a93399fa

C:\e9948b45290c424639ff

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[ray23]

Bonsoir,

Quand j'ouvre combofix il me propose directement une procédure de desinfection dont voici le rapport. Je n'arrive pas à créer un fichier texte et à coller ce que vous m'avez dit dedans.

 

 

rapport combo

 

ComboFix 11-01-31.02 - CPC EPS 05/02/2011 19:40:51.2.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1976.1580 [GMT 1:00]

Lancé depuis: c:\documents and settings\CPC EPS\Bureau\ComboFix.exe

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\explorer.backup

 

c:\windows\regedit.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-05 au 2011-02-05 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-04 18:11 . 2011-02-04 20:31 -------- d-----w- C:\FR-files

2011-02-04 17:55 . 2011-02-04 18:11 -------- d-----w- C:\WinFileReplace

2011-02-02 11:03 . 2011-02-02 19:20 -------- d-----w- C:\UsbFix

2011-02-01 20:14 . 2011-02-03 15:30 131072 ----a-w- C:\xdx.exe

2011-01-27 20:29 . 2011-01-27 20:31 -------- d-----w- C:\01e38dde97ae52e84e1e

2011-01-23 09:44 . 2011-01-23 09:44 -------- d-----w- C:\4bd8c7e8affd1942a93399fa

2011-01-22 21:30 . 2011-01-22 21:37 -------- d-----w- C:\e9948b45290c424639ff

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-21 13:13 . 2008-06-07 16:12 219648 ----a-w- c:\windows\system32\uxtheme.dll

2010-11-09 14:52 . 2008-04-14 14:00 249856 ----a-w- c:\windows\system32\odbc32.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2011-02-03_17.11.21 )))))))))))))))))))))))))))))))))))))))))

.

+ 2011-02-05 18:40 . 2011-02-05 18:40 16384 c:\windows\Temp\Perflib_Perfdata_e8.dat

+ 2011-02-04 08:40 . 2006-09-12 19:00 69632 c:\windows\system32\spool\prtprocs\w32x86\CNMPP86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 27136 c:\windows\system32\spool\prtprocs\w32x86\CNMPD86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 10752 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMW386.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 12800 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMVS86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 74240 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMSR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 44032 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMSQ86.DLL

+ 2011-02-04 08:40 . 2006-09-12 22:22 15448 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMSE86.EXE

+ 2011-02-04 08:40 . 2006-09-12 19:00 47104 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMSD86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 12288 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMPI86.DLL

+ 2011-02-04 08:40 . 2000-12-12 07:09 30320 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMP286.DAT

+ 2011-02-04 08:40 . 2000-12-12 01:10 27140 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMP186.DAT

+ 2011-02-04 08:40 . 2000-12-12 01:10 23280 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMP086.DAT

+ 2011-02-04 08:40 . 2006-09-12 19:00 32256 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMOP86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 10752 c:\windows\system32\spool\drivers\w32x86\3\CNMW386.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 12800 c:\windows\system32\spool\drivers\w32x86\3\CNMVS86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 74240 c:\windows\system32\spool\drivers\w32x86\3\CNMSR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 44032 c:\windows\system32\spool\drivers\w32x86\3\CNMSQ86.DLL

+ 2011-02-04 08:40 . 2006-09-12 22:22 15448 c:\windows\system32\spool\drivers\w32x86\3\CNMSE86.EXE

+ 2011-02-04 08:40 . 2006-09-12 19:00 47104 c:\windows\system32\spool\drivers\w32x86\3\CNMSD86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 12288 c:\windows\system32\spool\drivers\w32x86\3\CNMPI86.DLL

+ 2011-02-04 08:40 . 2000-12-12 07:09 30320 c:\windows\system32\spool\drivers\w32x86\3\CNMP286.DAT

+ 2011-02-04 08:40 . 2000-12-12 01:10 27140 c:\windows\system32\spool\drivers\w32x86\3\CNMP186.DAT

+ 2011-02-04 08:40 . 2000-12-12 01:10 23280 c:\windows\system32\spool\drivers\w32x86\3\CNMP086.DAT

+ 2011-02-04 08:40 . 2006-09-12 19:00 32256 c:\windows\system32\spool\drivers\w32x86\3\CNMOP86.DLL

- 2008-04-14 14:00 . 2008-04-14 14:00 13312 c:\windows\system32\lsass.exe

+ 2008-04-14 14:00 . 2008-04-13 18:34 13312 c:\windows\system32\lsass.exe

+ 2008-04-14 14:00 . 2008-04-13 18:34 13312 c:\windows\system32\dllcache\lsass.exe

+ 2011-02-04 08:40 . 2006-08-23 23:01 49152 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstUS.dll

+ 2011-02-04 08:40 . 2006-08-22 01:17 49152 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstTW.dll

+ 2011-02-04 08:40 . 2006-08-14 05:36 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstTR.dll

+ 2011-02-04 08:40 . 2006-08-24 04:18 49152 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstTH.dll

+ 2011-02-04 08:40 . 2006-08-14 03:40 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstSE.dll

+ 2011-02-04 08:40 . 2006-08-14 04:59 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstRU.dll

+ 2011-02-04 08:40 . 2006-08-22 04:42 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstPT.dll

+ 2011-02-04 08:40 . 2006-08-16 00:59 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstPL.dll

+ 2011-02-04 08:40 . 2006-08-14 02:11 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstNO.dll

+ 2011-02-04 08:40 . 2006-08-11 04:15 57344 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstNL.dll

+ 2011-02-04 08:40 . 2006-08-21 06:24 49152 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstKR.dll

+ 2011-02-04 08:40 . 2006-08-23 23:01 40960 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstJP.dll

+ 2011-02-04 08:40 . 2006-08-22 04:24 57344 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstIT.dll

+ 2011-02-04 08:40 . 2006-08-14 04:36 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstHU.dll

+ 2011-02-04 08:40 . 2006-08-22 05:37 57344 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstGR.dll

+ 2011-02-04 08:40 . 2006-08-22 04:09 57344 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstFR.dll

+ 2011-02-04 08:40 . 2006-08-11 04:20 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstFI.dll

+ 2011-02-04 08:40 . 2006-08-14 03:30 57344 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstES.dll

+ 2011-02-04 08:40 . 2006-08-11 03:50 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstDK.dll

+ 2011-02-04 08:40 . 2006-08-22 04:21 57344 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstDE.dll

+ 2011-02-04 08:40 . 2006-08-14 04:07 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstCZ.dll

+ 2011-02-04 08:40 . 2006-08-21 04:51 49152 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstCN.dll

+ 2011-02-04 08:40 . 2006-08-15 06:04 53248 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\RES\DLL\IJInstAR.dll

+ 2011-02-04 08:40 . 2006-09-12 19:00 8704 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMLH86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 9728 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMFU86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 8704 c:\windows\system32\spool\drivers\w32x86\3\CNMLH86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 9728 c:\windows\system32\spool\drivers\w32x86\3\CNMFU86.DLL

- 2008-04-14 14:00 . 2008-04-14 14:00 512000 c:\windows\system32\winlogon.exe

+ 2008-04-14 14:00 . 2008-04-13 18:34 512000 c:\windows\system32\winlogon.exe

+ 2011-02-04 08:40 . 2006-09-12 19:00 334848 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMUR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 536576 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMUB86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 419840 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMSM86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 102400 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMPV86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 130048 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMLR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 540160 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMDR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 217600 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMD586.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 110080 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMCP86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 334848 c:\windows\system32\spool\drivers\w32x86\3\CNMUR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 536576 c:\windows\system32\spool\drivers\w32x86\3\CNMUB86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 419840 c:\windows\system32\spool\drivers\w32x86\3\CNMSM86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 102400 c:\windows\system32\spool\drivers\w32x86\3\CNMPV86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 130048 c:\windows\system32\spool\drivers\w32x86\3\CNMLR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 540160 c:\windows\system32\spool\drivers\w32x86\3\CNMDR86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 217600 c:\windows\system32\spool\drivers\w32x86\3\CNMD586.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 110080 c:\windows\system32\spool\drivers\w32x86\3\CNMCP86.DLL

+ 2008-04-14 14:00 . 2008-04-13 18:34 512000 c:\windows\system32\dllcache\winlogon.exe

+ 2011-02-04 08:40 . 2006-09-12 19:00 197632 c:\windows\system32\CNMLM86.DLL

+ 2011-02-04 08:40 . 2006-08-25 08:34 702048 c:\windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300\DelDrv.exe

+ 2011-02-04 08:40 . 2006-09-12 19:10 1867264 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMUI86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 1142272 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMSB86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 1600000 c:\windows\system32\spool\drivers\w32x86\canonip4300f404\CNMCB86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:10 1867264 c:\windows\system32\spool\drivers\w32x86\3\CNMUI86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 1142272 c:\windows\system32\spool\drivers\w32x86\3\CNMSB86.DLL

+ 2011-02-04 08:40 . 2006-09-12 19:00 1600000 c:\windows\system32\spool\drivers\w32x86\3\CNMCB86.DLL

+ 2008-04-14 14:00 . 2008-04-13 18:34 1037824 c:\windows\system32\dllcache\explorer.exe

+ 2008-04-14 14:00 . 2008-04-13 18:34 1037824 c:\windows\explorer.exe

.

-- Instantané actualisé --

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]

"\\RAYMS\EPSON Stylus SX400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE" [2007-12-17 188928]

"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-12-16 2403536]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-14 177456]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-05 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-05 170520]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-05 141848]

"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-11-30 74752]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2011-01-28 149280]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2009-03-08 128512]

 

c:\documents and settings\CPC EPS\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]

UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]

Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]

InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2011-1-21 114688]

podXP.lnk - c:\program files\podXP\podXP.exe [2006-3-11 503808]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

"NoNetworkConnections"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2010-08-17 12:38 281768 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

 

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [21/01/2011 11:22 24064]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2011 14:21 135336]

R3 e1yexpress;Intel® Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [21/01/2011 13:08 244368]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/01/2011 13:03 36608]

R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [21/01/2011 13:52 47616]

S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [21/01/2011 13:52 193840]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\documents and settings\CPC EPS\Application Data\Mozilla\Firefox\Profiles\f76m8s7b.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.nba.com

FF - prefs.js: network.proxy.type - 2

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - user.js: browser.cache.memory.capacity - 65536

FF - user.js: browser.chrome.favicons - false

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.interrupt.parsing - true

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 750000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 750000

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 16

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 8

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 0

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-05 19:44

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Heure de fin: 2011-02-05 19:45:39

ComboFix-quarantined-files.txt 2011-02-05 18:45

ComboFix2.txt 2011-02-03 17:12

 

Avant-CF: 26 991 632 384 octets libres

Après-CF: 26 992 623 616 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - BCDA665577FFEE582FC9FDE84AEE8E7F

[pear]

Refaites comme ceci:

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

C:\xdx.exe

Dirlook::

C:\01e38dde97ae52e84e1e

C:\4bd8c7e8affd1942a93399fa

C:\e9948b45290c424639ff

 

 

 

Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

[ray23]

Bonjour,

J'ai réussi la procédure (je crois...)

Voici le rapport combofix:

 

ComboFix 11-01-31.02 - CPC EPS 06/02/2011 10:13:31.3.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1976.1588 [GMT 1:00]

Lancé depuis: c:\documents and settings\CPC EPS\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\CPC EPS\Bureau\CfScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

* Un nouveau point de restauration a été créé

 

FILE ::

"C:\xdx.exe"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\xdx.exe

 

c:\windows\regedit.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-06 au 2011-02-06 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-04 18:11 . 2011-02-04 20:31 -------- d-----w- C:\FR-files

2011-02-04 17:55 . 2011-02-04 18:11 -------- d-----w- C:\WinFileReplace

2011-02-02 11:03 . 2011-02-02 19:20 -------- d-----w- C:\UsbFix

2011-01-27 20:29 . 2011-01-27 20:31 -------- d-----w- C:\01e38dde97ae52e84e1e

2011-01-23 09:44 . 2011-01-23 09:44 -------- d-----w- C:\4bd8c7e8affd1942a93399fa

2011-01-22 21:30 . 2011-01-22 21:37 -------- d-----w- C:\e9948b45290c424639ff

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-21 13:13 . 2008-06-07 16:12 219648 ----a-w- c:\windows\system32\uxtheme.dll

2010-11-09 14:52 . 2008-04-14 14:00 249856 ----a-w- c:\windows\system32\odbc32.dll

.

 

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Directory of C:\01e38dde97ae52e84e1e ----

 

2010-04-11 21:17 . 2010-04-11 21:17 11104 ----a-w- c:\01e38dde97ae52e84e1e\2052\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\2070\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 13152 ----a-w- c:\01e38dde97ae52e84e1e\3082\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1053\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1055\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 13152 ----a-w- c:\01e38dde97ae52e84e1e\1045\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1046\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1049\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 11616 ----a-w- c:\01e38dde97ae52e84e1e\1042\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1043\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1044\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1040\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 11616 ----a-w- c:\01e38dde97ae52e84e1e\1041\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 13152 ----a-w- c:\01e38dde97ae52e84e1e\1036\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12128 ----a-w- c:\01e38dde97ae52e84e1e\1037\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1038\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 13152 ----a-w- c:\01e38dde97ae52e84e1e\1032\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1033\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1035\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1030\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 13152 ----a-w- c:\01e38dde97ae52e84e1e\1031\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12128 ----a-w- c:\01e38dde97ae52e84e1e\1025\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 11104 ----a-w- c:\01e38dde97ae52e84e1e\1028\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 12640 ----a-w- c:\01e38dde97ae52e84e1e\1029\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 11104 ----a-w- c:\01e38dde97ae52e84e1e\3076\HotFixInstallerUI.dll

2010-04-11 21:17 . 2010-04-11 21:17 321888 ----a-w- c:\01e38dde97ae52e84e1e\HotFixInstaller.exe

2010-04-11 21:17 . 2010-04-11 21:17 14599680 ----a-w- c:\01e38dde97ae52e84e1e\NDP30SP2-KB976769.msp

2010-04-11 21:17 . 2010-04-11 21:17 4210688 ----a-w- c:\01e38dde97ae52e84e1e\NDP20SP2-KB976765.msp

2010-04-11 21:17 . 2010-04-11 21:17 2607104 ----a-w- c:\01e38dde97ae52e84e1e\NDP20SP2-KB980773.msp

2010-04-11 21:08 . 2010-04-11 21:08 74519 ----a-w- c:\01e38dde97ae52e84e1e\1029\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 76465 ----a-w- c:\01e38dde97ae52e84e1e\1030\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 116656 ----a-w- c:\01e38dde97ae52e84e1e\1031\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 78951 ----a-w- c:\01e38dde97ae52e84e1e\1032\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 100363 ----a-w- c:\01e38dde97ae52e84e1e\1033\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 75533 ----a-w- c:\01e38dde97ae52e84e1e\1035\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 127060 ----a-w- c:\01e38dde97ae52e84e1e\1036\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 59647 ----a-w- c:\01e38dde97ae52e84e1e\1037\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 67624 ----a-w- c:\01e38dde97ae52e84e1e\1038\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 115589 ----a-w- c:\01e38dde97ae52e84e1e\1040\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 104768 ----a-w- c:\01e38dde97ae52e84e1e\1041\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 147711 ----a-w- c:\01e38dde97ae52e84e1e\1042\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 76257 ----a-w- c:\01e38dde97ae52e84e1e\1043\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 73305 ----a-w- c:\01e38dde97ae52e84e1e\1044\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 73386 ----a-w- c:\01e38dde97ae52e84e1e\1045\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 97721 ----a-w- c:\01e38dde97ae52e84e1e\1046\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 141033 ----a-w- c:\01e38dde97ae52e84e1e\1049\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 76556 ----a-w- c:\01e38dde97ae52e84e1e\1053\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 77193 ----a-w- c:\01e38dde97ae52e84e1e\1055\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 102032 ----a-w- c:\01e38dde97ae52e84e1e\2052\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 76519 ----a-w- c:\01e38dde97ae52e84e1e\2070\eula.rtf

2010-04-11 21:08 . 2010-04-11 21:08 94271 ----a-w- c:\01e38dde97ae52e84e1e\3082\eula.rtf

2010-04-11 21:07 . 2010-04-11 21:07 15616 ----a-w- c:\01e38dde97ae52e84e1e\DHtmlHeader.html

2010-04-11 21:07 . 2010-04-11 21:07 7306 ----a-w- c:\01e38dde97ae52e84e1e\header.bmp

2010-04-11 21:07 . 2010-04-11 21:07 3803 ----a-w- c:\01e38dde97ae52e84e1e\ParameterInfo.xml

2010-04-11 21:07 . 2010-04-11 21:07 110348 ----a-w- c:\01e38dde97ae52e84e1e\watermark.bmp

2010-04-11 21:07 . 2010-04-11 21:07 76237 ----a-w- c:\01e38dde97ae52e84e1e\1025\eula.rtf

2010-04-11 21:07 . 2010-04-11 21:07 37119 ----a-w- c:\01e38dde97ae52e84e1e\1028\eula.rtf

2010-04-11 21:07 . 2010-04-11 21:07 37119 ----a-w- c:\01e38dde97ae52e84e1e\3076\eula.rtf

 

---- Directory of C:\4bd8c7e8affd1942a93399fa ----

 

2011-01-23 09:44 . 2008-06-19 05:33 72 ------w- c:\4bd8c7e8affd1942a93399fa\amd64\msxpsinc.ppd

2011-01-23 09:44 . 2008-06-19 05:33 2204 ------w- c:\4bd8c7e8affd1942a93399fa\i386\msxpsdrv.inf

2011-01-23 09:44 . 2008-06-19 10:03 73 ------w- c:\4bd8c7e8affd1942a93399fa\i386\msxpsinc.gpd

2011-01-23 09:44 . 2008-06-19 05:33 72 ------w- c:\4bd8c7e8affd1942a93399fa\i386\msxpsinc.ppd

2011-01-23 09:44 . 2008-06-19 05:33 2204 ------w- c:\4bd8c7e8affd1942a93399fa\amd64\msxpsdrv.inf

2011-01-23 09:44 . 2008-07-06 12:06 10929 ------w- c:\4bd8c7e8affd1942a93399fa\amd64\msxpsdrv.cat

2011-01-23 09:44 . 2008-07-06 12:06 10929 ------w- c:\4bd8c7e8affd1942a93399fa\i386\msxpsdrv.cat

2011-01-23 09:44 . 2008-07-06 12:06 147456 ------w- c:\4bd8c7e8affd1942a93399fa\amd64\filterpipelineprintproc.dll

2011-01-23 09:44 . 2008-07-06 12:06 89088 ------w- c:\4bd8c7e8affd1942a93399fa\i386\filterpipelineprintproc.dll

2011-01-23 09:44 . 2008-07-06 12:06 765440 ------w- c:\4bd8c7e8affd1942a93399fa\i386\mxdwdrv.dll

2011-01-23 09:44 . 2008-07-06 12:06 1676288 ------w- c:\4bd8c7e8affd1942a93399fa\i386\xpssvcs.dll

2011-01-23 09:44 . 2008-07-06 12:06 748032 ------w- c:\4bd8c7e8affd1942a93399fa\amd64\mxdwdrv.dll

2008-07-06 16:36 . 2008-07-06 16:36 2936832 ------w- c:\4bd8c7e8affd1942a93399fa\amd64\xpssvcs.dll

2008-06-19 10:03 . 2008-06-19 10:03 73 ------w- c:\4bd8c7e8affd1942a93399fa\amd64\msxpsinc.gpd

 

---- Directory of C:\e9948b45290c424639ff ----

 

2008-07-29 23:23 . 2008-07-29 23:23 633848 ----a-w- c:\e9948b45290c424639ff\DW20.EXE

2008-07-29 23:23 . 2008-07-29 23:23 111616 ----a-w- c:\e9948b45290c424639ff\DWINTL20.DLL

2008-07-29 23:23 . 2008-07-29 23:23 626688 ----a-w- c:\e9948b45290c424639ff\vs_setup.MS_

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1025.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1028.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1029.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1030.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1031.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1032.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1035.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1036.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1037.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1038.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1040.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1041.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1042.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1043.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1044.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1045.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1046.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1049.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1053.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.1055.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.2052.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.2070.ini

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.3082.ini

2008-07-29 22:15 . 2008-07-29 22:15 46893 ----a-w- c:\e9948b45290c424639ff\eula.1025.rtf

2008-07-29 22:15 . 2008-07-29 22:15 53519 ----a-w- c:\e9948b45290c424639ff\eula.1028.rtf

2008-07-29 22:15 . 2008-07-29 22:15 43814 ----a-w- c:\e9948b45290c424639ff\eula.1029.rtf

2008-07-29 22:15 . 2008-07-29 22:15 41822 ----a-w- c:\e9948b45290c424639ff\eula.1030.rtf

2008-07-29 22:15 . 2008-07-29 22:15 41798 ----a-w- c:\e9948b45290c424639ff\eula.1031.rtf

2008-07-29 22:15 . 2008-07-29 22:15 53977 ----a-w- c:\e9948b45290c424639ff\eula.1032.rtf

2008-07-29 22:15 . 2008-07-29 22:15 43216 ----a-w- c:\e9948b45290c424639ff\eula.1035.rtf

2008-07-29 22:15 . 2008-07-29 22:15 42457 ----a-w- c:\e9948b45290c424639ff\eula.1036.rtf

2008-07-29 22:15 . 2008-07-29 22:15 77913 ----a-w- c:\e9948b45290c424639ff\eula.1037.rtf

2008-07-29 22:15 . 2008-07-29 22:15 44918 ----a-w- c:\e9948b45290c424639ff\eula.1038.rtf

2008-07-29 22:15 . 2008-07-29 22:15 41708 ----a-w- c:\e9948b45290c424639ff\eula.1040.rtf

2008-07-29 22:15 . 2008-07-29 22:15 61595 ----a-w- c:\e9948b45290c424639ff\eula.1041.rtf

2008-07-29 22:15 . 2008-07-29 22:15 127418 ----a-w- c:\e9948b45290c424639ff\eula.1042.rtf

2008-07-29 22:15 . 2008-07-29 22:15 40763 ----a-w- c:\e9948b45290c424639ff\eula.1043.rtf

2008-07-29 22:15 . 2008-07-29 22:15 40854 ----a-w- c:\e9948b45290c424639ff\eula.1044.rtf

2008-07-29 22:15 . 2008-07-29 22:15 45015 ----a-w- c:\e9948b45290c424639ff\eula.1045.rtf

2008-07-29 22:15 . 2008-07-29 22:15 40995 ----a-w- c:\e9948b45290c424639ff\eula.1046.rtf

2008-07-29 22:15 . 2008-07-29 22:15 74626 ----a-w- c:\e9948b45290c424639ff\eula.1049.rtf

2008-07-29 22:15 . 2008-07-29 22:15 41314 ----a-w- c:\e9948b45290c424639ff\eula.1053.rtf

2008-07-29 22:15 . 2008-07-29 22:15 46870 ----a-w- c:\e9948b45290c424639ff\eula.1055.rtf

2008-07-29 22:15 . 2008-07-29 22:15 51680 ----a-w- c:\e9948b45290c424639ff\eula.2052.rtf

2008-07-29 22:15 . 2008-07-29 22:15 43434 ----a-w- c:\e9948b45290c424639ff\eula.2070.rtf

2008-07-29 22:15 . 2008-07-29 22:15 41495 ----a-w- c:\e9948b45290c424639ff\eula.3082.rtf

2008-07-29 22:15 . 2008-07-29 22:15 225490 ----a-w- c:\e9948b45290c424639ff\baseline.dat

2008-07-29 22:15 . 2008-07-29 22:15 796 ----a-w- c:\e9948b45290c424639ff\deffactory.dat

2008-07-29 22:15 . 2008-07-29 22:15 16978 ----a-w- c:\e9948b45290c424639ff\locdata.ini

2008-07-29 22:15 . 2008-07-29 22:15 76356 ----a-w- c:\e9948b45290c424639ff\setup.sdb

2008-07-29 22:15 . 2008-07-29 22:15 21744 ----a-w- c:\e9948b45290c424639ff\vs_setup.pdi

2008-07-29 17:47 . 2008-07-29 17:47 97280 ----a-w- c:\e9948b45290c424639ff\DeleteTemp.exe

2008-07-29 17:47 . 2008-07-29 17:47 276984 ----a-w- c:\e9948b45290c424639ff\dlmgr.dll

2008-07-29 17:47 . 2008-07-29 17:47 1064448 ----a-w- c:\e9948b45290c424639ff\gencomp.dll

2008-07-29 17:47 . 2008-07-29 17:47 177152 ----a-w- c:\e9948b45290c424639ff\HtmlLite.dll

2008-07-29 17:47 . 2008-07-29 17:47 269304 ----a-w- c:\e9948b45290c424639ff\setup.exe

2008-07-29 17:47 . 2008-07-29 17:47 113152 ----a-w- c:\e9948b45290c424639ff\setupres.1025.dll

2008-07-29 17:47 . 2008-07-29 17:47 84992 ----a-w- c:\e9948b45290c424639ff\setupres.1028.dll

2008-07-29 17:47 . 2008-07-29 17:47 125440 ----a-w- c:\e9948b45290c424639ff\setupres.1029.dll

2008-07-29 17:47 . 2008-07-29 17:47 126464 ----a-w- c:\e9948b45290c424639ff\setupres.1030.dll

2008-07-29 17:47 . 2008-07-29 17:47 130048 ----a-w- c:\e9948b45290c424639ff\setupres.1031.dll

2008-07-29 17:47 . 2008-07-29 17:47 137728 ----a-w- c:\e9948b45290c424639ff\setupres.1032.dll

2008-07-29 17:47 . 2008-07-29 17:47 122368 ----a-w- c:\e9948b45290c424639ff\setupres.1035.dll

2008-07-29 17:47 . 2008-07-29 17:47 133120 ----a-w- c:\e9948b45290c424639ff\setupres.1036.dll

2008-07-29 17:47 . 2008-07-29 17:47 111104 ----a-w- c:\e9948b45290c424639ff\setupres.1037.dll

2008-07-29 17:47 . 2008-07-29 17:47 132096 ----a-w- c:\e9948b45290c424639ff\setupres.1038.dll

2008-07-29 17:47 . 2008-07-29 17:47 128512 ----a-w- c:\e9948b45290c424639ff\setupres.1040.dll

2008-07-29 17:47 . 2008-07-29 17:47 97792 ----a-w- c:\e9948b45290c424639ff\setupres.1041.dll

2008-07-29 17:47 . 2008-07-29 17:47 94720 ----a-w- c:\e9948b45290c424639ff\setupres.1042.dll

2008-07-29 17:47 . 2008-07-29 17:47 129024 ----a-w- c:\e9948b45290c424639ff\setupres.1043.dll

2008-07-29 17:47 . 2008-07-29 17:47 121856 ----a-w- c:\e9948b45290c424639ff\setupres.1044.dll

2008-07-29 17:47 . 2008-07-29 17:47 128512 ----a-w- c:\e9948b45290c424639ff\setupres.1045.dll

2008-07-29 17:47 . 2008-07-29 17:47 122880 ----a-w- c:\e9948b45290c424639ff\setupres.1046.dll

2008-07-29 17:47 . 2008-07-29 17:47 123904 ----a-w- c:\e9948b45290c424639ff\setupres.1049.dll

2008-07-29 17:47 . 2008-07-29 17:47 121344 ----a-w- c:\e9948b45290c424639ff\setupres.1053.dll

2008-07-29 17:47 . 2008-07-29 17:47 121344 ----a-w- c:\e9948b45290c424639ff\setupres.1055.dll

2008-07-29 17:47 . 2008-07-29 17:47 84480 ----a-w- c:\e9948b45290c424639ff\setupres.2052.dll

2008-07-29 17:47 . 2008-07-29 17:47 131072 ----a-w- c:\e9948b45290c424639ff\setupres.2070.dll

2008-07-29 17:47 . 2008-07-29 17:47 131584 ----a-w- c:\e9948b45290c424639ff\setupres.3082.dll

2008-07-29 17:47 . 2008-07-29 17:47 110080 ----a-w- c:\e9948b45290c424639ff\setupres.dll

2008-07-29 17:47 . 2008-07-29 17:47 1364992 ----a-w- c:\e9948b45290c424639ff\SITSetup.dll

2008-07-29 17:47 . 2008-07-29 17:47 632320 ----a-w- c:\e9948b45290c424639ff\vs70uimgr.dll

2008-07-29 17:47 . 2008-07-29 17:47 413184 ----a-w- c:\e9948b45290c424639ff\vsbasereqs.dll

2008-07-29 17:47 . 2008-07-29 17:47 689152 ----a-w- c:\e9948b45290c424639ff\vsscenario.dll

2008-07-29 17:47 . 2008-07-29 17:47 1054208 ----a-w- c:\e9948b45290c424639ff\vs_setup.dll

2008-07-29 17:47 . 2008-07-29 17:47 102904 ----a-w- c:\e9948b45290c424639ff\WapRes.1025.dll

2008-07-29 17:47 . 2008-07-29 17:47 89592 ----a-w- c:\e9948b45290c424639ff\WapRes.1028.dll

2008-07-29 17:47 . 2008-07-29 17:47 108536 ----a-w- c:\e9948b45290c424639ff\WapRes.1029.dll

2008-07-29 17:47 . 2008-07-29 17:47 108536 ----a-w- c:\e9948b45290c424639ff\WapRes.1030.dll

2008-07-29 17:47 . 2008-07-29 17:47 111608 ----a-w- c:\e9948b45290c424639ff\WapRes.1031.dll

2008-07-29 17:47 . 2008-07-29 17:47 113656 ----a-w- c:\e9948b45290c424639ff\WapRes.1032.dll

2008-07-29 17:47 . 2008-07-29 17:47 106488 ----a-w- c:\e9948b45290c424639ff\WapRes.1035.dll

2008-07-29 17:47 . 2008-07-29 17:47 112120 ----a-w- c:\e9948b45290c424639ff\WapRes.1036.dll

2008-07-29 17:47 . 2008-07-29 17:47 101368 ----a-w- c:\e9948b45290c424639ff\WapRes.1037.dll

2008-07-29 17:47 . 2008-07-29 17:47 111096 ----a-w- c:\e9948b45290c424639ff\WapRes.1038.dll

2008-07-29 17:47 . 2008-07-29 17:47 110072 ----a-w- c:\e9948b45290c424639ff\WapRes.1040.dll

2008-07-29 17:47 . 2008-07-29 17:47 95224 ----a-w- c:\e9948b45290c424639ff\WapRes.1041.dll

2008-07-29 17:47 . 2008-07-29 17:47 92664 ----a-w- c:\e9948b45290c424639ff\WapRes.1042.dll

2008-07-29 17:47 . 2008-07-29 17:47 108536 ----a-w- c:\e9948b45290c424639ff\WapRes.1043.dll

2008-07-29 17:47 . 2008-07-29 17:47 106488 ----a-w- c:\e9948b45290c424639ff\WapRes.1044.dll

2008-07-29 17:47 . 2008-07-29 17:47 109048 ----a-w- c:\e9948b45290c424639ff\WapRes.1045.dll

2008-07-29 17:47 . 2008-07-29 17:47 107512 ----a-w- c:\e9948b45290c424639ff\WapRes.1046.dll

2008-07-29 17:47 . 2008-07-29 17:47 107000 ----a-w- c:\e9948b45290c424639ff\WapRes.1049.dll

2008-07-29 17:47 . 2008-07-29 17:47 105976 ----a-w- c:\e9948b45290c424639ff\WapRes.1053.dll

2008-07-29 17:47 . 2008-07-29 17:47 106488 ----a-w- c:\e9948b45290c424639ff\WapRes.1055.dll

2008-07-29 17:47 . 2008-07-29 17:47 89080 ----a-w- c:\e9948b45290c424639ff\WapRes.2052.dll

2008-07-29 17:47 . 2008-07-29 17:47 110072 ----a-w- c:\e9948b45290c424639ff\WapRes.2070.dll

2008-07-29 17:47 . 2008-07-29 17:47 111096 ----a-w- c:\e9948b45290c424639ff\WapRes.3082.dll

2008-07-29 17:47 . 2008-07-29 17:47 107512 ----a-w- c:\e9948b45290c424639ff\WapRes.dll

2008-07-29 17:47 . 2008-07-29 17:47 984056 ----a-w- c:\e9948b45290c424639ff\WapUI.dll

2008-07-29 17:43 . 2008-07-29 17:43 5208 ----a-w- c:\e9948b45290c424639ff\logo.bmp

2008-07-29 15:03 . 2008-07-29 15:03 110130 ----a-w- c:\e9948b45290c424639ff\eula.1033.rtf

 

 

((((((((((((((((((((((((((((( SnapShot_2011-02-05_18.44.34 )))))))))))))))))))))))))))))))))))))))))

.

+ 2011-02-06 09:18 . 2011-02-06 09:18 16384 c:\windows\temp\Perflib_Perfdata_6a8.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 85422 c:\windows\system32\perfc00C.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 85422 c:\windows\system32\perfc00C.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 71452 c:\windows\system32\perfc009.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 71452 c:\windows\system32\perfc009.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 510860 c:\windows\system32\perfh00C.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 510860 c:\windows\system32\perfh00C.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 441326 c:\windows\system32\perfh009.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 441326 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]

"\\RAYMS\EPSON Stylus SX400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE" [2007-12-17 188928]

"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-12-16 2403536]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-14 177456]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-05 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-05 170520]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-05 141848]

"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-11-30 74752]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2011-01-28 149280]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2009-03-08 128512]

 

c:\documents and settings\CPC EPS\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]

UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]

Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]

InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2011-1-21 114688]

podXP.lnk - c:\program files\podXP\podXP.exe [2006-3-11 503808]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

"NoNetworkConnections"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2010-08-17 12:38 281768 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

 

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [21/01/2011 11:22 24064]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2011 14:21 135336]

R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [21/01/2011 13:52 193840]

R3 e1yexpress;Intel® Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [21/01/2011 13:08 244368]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/01/2011 13:03 36608]

R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [21/01/2011 13:52 47616]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\documents and settings\CPC EPS\Application Data\Mozilla\Firefox\Profiles\f76m8s7b.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.nba.com

FF - prefs.js: network.proxy.type - 2

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - user.js: browser.cache.memory.capacity - 65536

FF - user.js: browser.chrome.favicons - false

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.interrupt.parsing - true

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 750000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 750000

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 16

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 8

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 0

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-06 10:18

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2360)

c:\windows\system32\SHDOCVW.dll

c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll

c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll

c:\windows\system32\btmmhook.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\NETSHELL.dll

c:\windows\system32\credui.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\System32\SCardSvr.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\Hewlett-Packard\Shared\HpqToaster.exe

.

**************************************************************************

.

Heure de fin: 2011-02-06 10:21:21 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-02-06 09:21

ComboFix2.txt 2011-02-05 18:45

ComboFix3.txt 2011-02-03 17:12

 

Avant-CF: 27 003 510 784 octets libres

Après-CF: 27 002 052 608 octets libres

 

- - End Of File - - ECD26A133FF0EE0E2F383B1179FAF049

[pear]

Oui, ça va pour l'instant.

Un oubli(de ma part) à corriger:

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Fcopy::

C:\FR-files\Regedit.exe | C:\Windows\system32\dllcache\Regedit.exe

C:\FR-files\Regedit.exe | C:\WINDOWS\Regedit.exe

 

Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[ray23]

bONSOIR,

Voici le rapport de combofix mais je n'ai pu utiliser qu'une version limitée.

 

Merci pour votre aide.

 

 

ComboFix 11-01-31.02 - CPC EPS 06/02/2011 18:11:22.4.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1976.1561 [GMT 1:00]

Lancé depuis: c:\documents and settings\CPC EPS\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\CPC EPS\Bureau\CFScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

- Mode FONCTIONNALITES REDUITES -

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\regedit.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-06 au 2011-02-06 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-04 18:11 . 2011-02-04 20:31 -------- d-----w- C:\FR-files

2011-02-04 17:55 . 2011-02-04 18:11 -------- d-----w- C:\WinFileReplace

2011-02-02 11:03 . 2011-02-02 19:20 -------- d-----w- C:\UsbFix

2011-01-27 20:29 . 2011-01-27 20:31 -------- d-----w- C:\01e38dde97ae52e84e1e

2011-01-23 09:44 . 2011-01-23 09:44 -------- d-----w- C:\4bd8c7e8affd1942a93399fa

2011-01-22 21:30 . 2011-01-22 21:37 -------- d-----w- C:\e9948b45290c424639ff

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-21 13:13 . 2008-06-07 16:12 219648 ----a-w- c:\windows\system32\uxtheme.dll

2010-11-09 14:52 . 2008-04-14 14:00 249856 ----a-w- c:\windows\system32\odbc32.dll

.

 

((((((((((((((((((((((((((((( SnapShot_2011-02-05_18.44.34 )))))))))))))))))))))))))))))))))))))))))

.

+ 2011-02-06 17:13 . 2011-02-06 17:13 16384 c:\windows\temp\Perflib_Perfdata_69c.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 85422 c:\windows\system32\perfc00C.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 85422 c:\windows\system32\perfc00C.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 71452 c:\windows\system32\perfc009.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 71452 c:\windows\system32\perfc009.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 510860 c:\windows\system32\perfh00C.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 510860 c:\windows\system32\perfh00C.dat

- 2008-04-14 14:00 . 2011-02-02 19:42 441326 c:\windows\system32\perfh009.dat

+ 2008-04-14 14:00 . 2011-02-06 09:16 441326 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]

"\\RAYMS\EPSON Stylus SX400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE" [2007-12-17 188928]

"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-12-16 2403536]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-14 177456]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-05 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-05 170520]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-05 141848]

"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-11-30 74752]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2011-01-28 149280]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2009-03-08 128512]

 

c:\documents and settings\CPC EPS\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]

UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]

Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]

InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2011-1-21 114688]

podXP.lnk - c:\program files\podXP\podXP.exe [2006-3-11 503808]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

"NoNetworkConnections"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2010-08-17 12:38 281768 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

 

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [21/01/2011 11:22 24064]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2011 14:21 135336]

R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [21/01/2011 13:52 193840]

R3 e1yexpress;Intel® Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [21/01/2011 13:08 244368]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/01/2011 13:03 36608]

R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [21/01/2011 13:52 47616]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\documents and settings\CPC EPS\Application Data\Mozilla\Firefox\Profiles\f76m8s7b.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.nba.com

FF - prefs.js: network.proxy.type - 2

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - user.js: browser.cache.memory.capacity - 65536

FF - user.js: browser.chrome.favicons - false

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.interrupt.parsing - true

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 750000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 750000

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 16

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 8

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 0

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-06 18:14

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(1764)

c:\windows\system32\SHDOCVW.dll

c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll

c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll

c:\windows\system32\btmmhook.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\NETSHELL.dll

c:\windows\system32\credui.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\System32\SCardSvr.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\Hewlett-Packard\Shared\HpqToaster.exe

.

**************************************************************************

.

Heure de fin: 2011-02-06 18:16:42 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-02-06 17:16

ComboFix2.txt 2011-02-06 09:21

ComboFix3.txt 2011-02-05 18:45

ComboFix4.txt 2011-02-03 17:12

 

Avant-CF: 26 996 314 112 octets libres

Après-CF: 26 988 199 936 octets libres

 

- - End Of File - - AFDC4CE327FF061AE872FBADDD31C4B4

[pear]

Etonnant !

 

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.

Pour supprimer Combofix:

Démarrer > Exécuter ->

Copier/coller:

"%userprofile%\Bureau\ComboFix.exe" /uninstall

Supprimez C:\qoobox si vous le trouvez

 

Réinstallez Combofix et relancez la procédure.comme ceci:

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Fcopy::

C:\FR-files\Regedit.exe | C:\Windows\system32\dllcache\Regedit.exe

C:\Windows\system32\dllcache\Regedit.exe | C:\WINDOWS\Regedit.exe

 

Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[ray23]

Bonsoir,

Toujours REGEDIT qui semble infecté....

Voici le rapport. MERCI encore.

 

ComboFix 11-02-05.01 - CPC EPS 06/02/2011 20:50:53.5.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1976.1591 [GMT 1:00]

Lancé depuis: c:\documents and settings\CPC EPS\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\CPC EPS\Bureau\CFScript.txt

AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\regedit.exe . . . est infecté!!

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-01-06 au 2011-02-06 ))))))))))))))))))))))))))))))))))))

.

 

2011-02-04 18:11 . 2011-02-04 20:31 -------- d-----w- C:\FR-files

2011-02-04 17:55 . 2011-02-04 18:11 -------- d-----w- C:\WinFileReplace

2011-02-02 11:03 . 2011-02-02 19:20 -------- d-----w- C:\UsbFix

2011-01-27 20:29 . 2011-01-27 20:31 -------- d-----w- C:\01e38dde97ae52e84e1e

2011-01-23 09:44 . 2011-01-23 09:44 -------- d-----w- C:\4bd8c7e8affd1942a93399fa

2011-01-22 21:30 . 2011-01-22 21:37 -------- d-----w- C:\e9948b45290c424639ff

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-21 13:13 . 2008-06-07 16:12 219648 ----a-w- c:\windows\system32\uxtheme.dll

2010-11-09 14:52 . 2008-04-14 14:00 249856 ----a-w- c:\windows\system32\odbc32.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]

"\\RAYMS\EPSON Stylus SX400 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE" [2007-12-17 188928]

"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2010-12-16 2403536]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]

"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-14 177456]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-06-05 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-06-05 170520]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-06-05 141848]

"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2008-05-14 61440]

"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-11-30 74752]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2011-01-28 149280]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2009-03-08 128512]

 

c:\documents and settings\CPC EPS\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]

UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]

Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-5-12 576104]

InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2011-1-21 114688]

podXP.lnk - c:\program files\podXP\podXP.exe [2006-3-11 503808]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyDocs"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

"NoNetworkConnections"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

2010-08-17 12:38 281768 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=

 

R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [21/01/2011 11:22 24064]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/01/2011 14:21 135336]

R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [21/01/2011 13:52 193840]

R3 e1yexpress;Intel® Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [21/01/2011 13:08 244368]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [21/01/2011 13:03 36608]

R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [21/01/2011 13:52 47616]

.

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

FF - ProfilePath - c:\documents and settings\CPC EPS\Application Data\Mozilla\Firefox\Profiles\f76m8s7b.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.nba.com

FF - prefs.js: network.proxy.type - 2

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - user.js: browser.cache.memory.capacity - 65536

FF - user.js: browser.chrome.favicons - false

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.interrupt.parsing - true

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 750000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 750000

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 16

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 8

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 0

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-06 20:56

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe???????????????????????|?M?|?????M?|??@

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(1028)

c:\windows\system32\SHDOCVW.dll

c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll

c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll

c:\windows\system32\btmmhook.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\NETSHELL.dll

c:\windows\system32\credui.dll

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\System32\SCardSvr.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\Hewlett-Packard\Shared\HpqToaster.exe

.

**************************************************************************

.

Heure de fin: 2011-02-06 20:59:52 - La machine a redémarré

ComboFix-quarantined-files.txt 2011-02-06 19:59

ComboFix2.txt 2011-02-06 17:16

 

Avant-CF: 27 069 579 264 octets libres

Après-CF: 27 065 864 192 octets libres

 

- - End Of File - - 0499C177005C3A8C7E4C00325B209D72

[ray23]

Bonsoir,

 

Qu'avez vous pensé de mon dernier rapport?

Comment puis je désinfecter ma clef (si cela vient d'elle?)

Avez vous une idée d'où venait ce virus?

 

MERCI MILLE FOIS

[pear]

Pour la clé:

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

 

 

 

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vistaésactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2 (Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

Pour regedit, je cherche.

 

Disposez vous d'un Windows ?

Si oui:

 

Avant d'utiliser la console de récupération:

Installer la commande Set et Désactiver la demande de mot de passe .

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]

"SetCommand"=dword:00000001

"SecurityLevel"=dword:00000001

 

Dans le cas où la console n'est pas installée, munissez-vous de votre CD d'installation ou du cd que vous avez fait.

Assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS

- Insérez le CD dans le lecteur de CD, puis redémarrez l'ordinateur

- Lorsque l'écran de bienvenue du programme d'installation s'affiche,

 

Appuyez sur la touche R pour démarrer la console de récupération.

Si on vous le demande, parce que vous n'avez pas installé la commande Set:

Tapez votre mot de passe Administrateur si vous en avez un, sinon, ne tapez rien et cliquez sur ENTRÉE.

 

 

 

 

Utilisation de la console

 

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Appuyez la touche Verr Num pour activer le clavier numérique

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

Vous arrivez là:

C:\WINDOWS>

 

Saisissez tout d'abord dans la console la commande Set.

Ces commandes vont apparaître :

* AllowWildCards = FALSE

* AllowAllPaths = FALSE

* AllowRemovableMedia = FALSE

* NoCopyPrompt = FALSE

* Vous ne pouvez donc pas utiliser les extensions de commande (par exemple Del pour Delete) : "Le paramètre n'est pas valide. Essayez le commutateur /? Pour obtenir de l'aide."

* Vous ne pouvez pas parcourir les arborescences de votre disque dur : "Accès refusé".

* Vous ne pouvez pas accéder à des lecteurs amovibles comme un lecteur de disquettes.

* Vous ne pouvez pas copier des fichiers ou des dossiers.

Saisissez alors, en validant chaque commande par la touche Entrée :

* set allowwildcards = true

* Set allowallpaths = true

* Set allowremovablemedia = true

* Set NoCopyPrompt = true

 

Réparer un fichier système endommagé

cd c:\

cd windows

ren regdit.exe regedit.old

Copy C:\FR-files\Regedit.exe C:\Windows\system32\dllcache\Regedit.exe

Copy C:\FR-files\Regedit.exe C:\WINDOWS\Regedit.exe

Modifié le 8 février 2011 par pear