S'abonner :  Newsletters    Magazines
Avis sur les produits Avis sur les logiciels Avis sur les jeux Actualités A propos de 01net
1143 utilisateurs connectés
Forum de 01net / Sécurité / CreateProcess a echoue code 193 [resolu]

CreateProcess a echoue code 193 [resolu]

Daile le 09 aout 2008 à 00h31
Bonjour,

J'obtiens le message " CreateProcess a echoue code 193 " quand je veux lancer Spybot. En outre je ne peux plus lancer Avast et Cleaner.

D'après mes lectures sur les forums cela pourrait être un virus du type Win32.Bagle.SUQ@mm

Je suis incapable de nettoyer mon PC ( sous Vista )

Votre aide serait la bienvenue

Merci d'avance
-->Message édité par Daile le 11/08/2008 00:39:23<--
répondre
dédétraqué le 09 aout 2008 à 00h57
Salut Daile


J'espère pour toi que non :

Télécharge Hijackthis V 2.02 sur le bureau :

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe


- Double clique sur HJTInstall.exe sur le bureau

- Clique sur Install ensuite sur I Accept

- ferme toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).

- lancer HJT et clic sur Do a system scan and save a logfile

Quand le rapport apparaît dans le bloc note, allez dans Edition, puis Sélectionner Tout, le texte est alors sélectionné, retourne dans Edition toujours en laissant le texte sélectionné, et cliquez sur copier.


Dans ta prochaine réponse, faire un clic droit et coller.


Aide : http://forum.telecharger.01net.com/microhebdo/questions-techniques-diverses/t(...)


@++
répondre
Daile le 09 aout 2008 à 01h01
Merci de bien vouloir m'aider !

Voila pour HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:58:54, on 09/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Daniel\Downloads\SECURITE\HIJACK THIS\HiJackThis 2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2101E4F4-AE9D-4D88-BD4E-098BD7BCD250} - (no file)
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Money\System\mnyside.dll
O2 - BHO: (no name) - {60093FC9-BB69-4540-8AEE-163F580686F6} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {F000C640-5DA4-4B69-9392-9B0D850E6CE1} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand203000018.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Money\System\mnyside.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5346/mcfscan.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 5962 bytes
répondre
Daile le 09 aout 2008 à 01h01
Merci de bien vouloir m'aider !

Voila pour HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:58:54, on 09/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Daniel\Downloads\SECURITE\HIJACK THIS\HiJackThis 2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2101E4F4-AE9D-4D88-BD4E-098BD7BCD250} - (no file)
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Money\System\mnyside.dll
O2 - BHO: (no name) - {60093FC9-BB69-4540-8AEE-163F580686F6} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {F000C640-5DA4-4B69-9392-9B0D850E6CE1} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand203000018.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Money\System\mnyside.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5346/mcfscan.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 5962 bytes
répondre
dédétraqué le 09 aout 2008 à 01h18
Salut Daile


Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


==> Sauvegarde et ferme toutes les fenêtres actives, il va y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique combofix.exe clique sur OUI valide par Entrée pour lancer le scan

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++
répondre
Daile le 09 aout 2008 à 01h39
Salut Dédétraqué,

Le compte utilisateur est désactivé. Il m'est proposé de l'activer.

Mais je ne peux pas télécharger combofix sur le bureau car je n'ai pas l'autorisation de modifier les fichiers contenus dans cet emplacement réseau.

Je tourne en rond.
répondre
dédétraqué le 09 aout 2008 à 01h52
Salut Daile


Peux-tu l'enregistrer autre que sur le bureau?


@++
répondre
Daile le 09 aout 2008 à 01h55
Salut Dédétraqué,

Non.
répondre
dédétraqué le 09 aout 2008 à 02h02
Salut Daile


Essaie de cette manière :

Faire un clic droit sur ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom daile.exe clique sur Enregistrer


Double clique daile.exe clique sur OUI valide par Entrée pour lancer le scan

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++
répondre
Daile le 09 aout 2008 à 02h21
Salut Dédétraqué,

J'ai pu télécharger et executer combofix, voici le rapport :

ComboFix 08-08-08.06 - Daniel 2008-08-09 2:09:44.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1138 [GMT 2:00]
* CrÚation d'un nouveau point de restauration
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\AutoRun.inf
C:\Windows\system32\ban_list.txt
C:\Windows\system32\drivers\downld
C:\Windows\system32\drivers\downld\101915.exe
C:\Windows\system32\drivers\downld\1020090.exe
C:\Windows\system32\drivers\downld\104427.exe
C:\Windows\system32\drivers\downld\1058903.exe
C:\Windows\system32\drivers\downld\118389.exe
C:\Windows\system32\drivers\downld\121930.exe
C:\Windows\system32\drivers\downld\131368.exe
C:\Windows\system32\drivers\downld\131945.exe
C:\Windows\system32\drivers\downld\135486.exe
C:\Windows\system32\drivers\downld\158699.exe
C:\Windows\system32\drivers\downld\16142687.exe
C:\Windows\system32\drivers\downld\16161485.exe
C:\Windows\system32\drivers\downld\16188504.exe
C:\Windows\system32\drivers\downld\16191172.exe
C:\Windows\system32\drivers\downld\16223635.exe
C:\Windows\system32\drivers\downld\16247145.exe
C:\Windows\system32\drivers\downld\16255569.exe
C:\Windows\system32\drivers\downld\162724.exe
C:\Windows\system32\drivers\downld\168871.exe
C:\Windows\system32\drivers\downld\194798.exe
C:\Windows\system32\drivers\downld\203908.exe
C:\Windows\system32\drivers\downld\247230.exe
C:\Windows\system32\drivers\downld\257698.exe
C:\Windows\system32\drivers\downld\62025.exe
C:\Windows\system32\drivers\downld\71776.exe
C:\Windows\system32\drivers\downld\83569.exe
C:\Windows\system32\drivers\downld\909782.exe
C:\Windows\system32\drivers\downld\93257.exe
C:\Windows\system32\drivers\downld\936458.exe
C:\Windows\system32\drivers\downld\963446.exe
C:\Windows\system32\drivers\downld\966535.exe
C:\Windows\system32\drivers\downld\96829.exe
C:\Windows\system32\drivers\downld\998406.exe
C:\Windows\system32\drivers\hldrrr.exe
C:\Windows\system32\drivers\mdelk.exe
C:\Windows\system32\drivers\srosa.sys
C:\Windows\system32\mdelk.exe
C:\Windows\system32\oqWELkkj.ini
C:\Windows\System32\oqWELkkj.ini2
C:\Windows\System32\ryyijmsa.ini
C:\Windows\system32\wintems.exe

.
((((((((((((((((((((((((( Files Created from 2008-07-09 to 2008-08-09 )))))))))))))))))))))))))))))))
.

2008-08-09 02:04 . 2008-08-09 02:04 2,708,945 --a------ C:\Users\Daniel\daile.exe
2008-08-09 00:12 . 2008-08-09 00:12 <REP> d-------- C:\Windows\System32\Kaspersky Lab
2008-08-09 00:01 . 2008-08-09 00:01 <REP> dr------- C:\Users\Daniel\Searches
2008-08-08 23:45 . 2008-08-08 23:45 <REP> d-------- C:\Program Files\Alwil Software
2008-08-08 23:45 . 2008-07-19 16:36 51,280 --a------ C:\Windows\System32\drivers\aswMonFlt.sys
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Public\Videos
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Public\Pictures
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Public\Music
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Daniel\Videos
2008-08-08 09:17 . 2008-08-08 09:17 <REP> d-------- C:\Users\All Users\WEBREG
2008-08-08 09:17 . 2008-08-08 09:17 <REP> d-------- C:\ProgramData\WEBREG
2008-08-08 09:16 . 2008-08-08 09:16 <REP> d-------- C:\Users\All Users\Hewlett-Packard
2008-08-08 09:16 . 2008-08-08 09:16 <REP> d-------- C:\ProgramData\Hewlett-Packard
2008-08-07 10:38 . 2008-08-07 10:45 <REP> d-------- C:\Users\All Users\Ciel
2008-08-07 10:38 . 2008-08-07 10:45 <REP> d-------- C:\ProgramData\Ciel
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Videos
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Searches
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Saved Games
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Pictures
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Links
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Downloads
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Documents
2008-08-07 10:36 . 2008-08-07 10:45 <REP> d-------- C:\Program Files\Ciel
2008-08-07 07:07 . 2008-08-07 12:47 <REP> d-------- C:\Users\All Users\NVIDIA
2008-08-07 07:07 . 2008-08-07 12:47 <REP> d-------- C:\ProgramData\NVIDIA
2008-08-06 23:15 . 2008-08-06 23:15 <REP> d-------- C:\Program Files\Lavasoft
2008-08-06 23:14 . 2008-08-06 23:14 <REP> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-08-04 13:30 . 2007-11-08 11:04 11,967,524 --a------ C:\Windows\System32\korwbrkr.lex
2008-07-30 23:46 . 2008-07-25 08:23 25,748,413 --a------ C:\Windows\LPT$VPN.433
2008-07-30 23:44 . 2008-07-30 23:44 <REP> d-------- C:\Windows\AU_Temp
2008-07-30 05:28 . 2008-04-26 10:25 3,600,952 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-07-30 05:28 . 2008-04-26 10:25 3,549,240 --a------ C:\Windows\System32\ntoskrnl.exe
2008-07-30 05:28 . 2008-04-26 10:26 891,448 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-07-30 05:28 . 2008-04-12 05:32 784,896 --a------ C:\Windows\System32\rpcrt4.dll
2008-07-30 05:28 . 2008-05-10 05:35 564,736 --a------ C:\Windows\System32\emdmgmt.dll
2008-07-30 05:28 . 2008-04-05 03:21 72,192 --a------ C:\Windows\System32\drivers\pacer.sys
2008-07-30 05:28 . 2008-04-05 05:34 15,360 --a------ C:\Windows\System32\pacerprf.dll
2008-07-30 04:41 . 2008-05-08 23:59 430,080 --a------ C:\Windows\System32\vbscript.dll
2008-07-30 04:41 . 2008-05-08 23:59 180,224 --a------ C:\Windows\System32\scrobj.dll
2008-07-30 04:41 . 2008-05-08 23:59 172,032 --a------ C:\Windows\System32\scrrun.dll
2008-07-30 04:41 . 2008-05-08 23:59 155,648 --a------ C:\Windows\System32\wscript.exe
2008-07-30 04:41 . 2008-05-08 23:58 135,168 --a------ C:\Windows\System32\wshom.ocx
2008-07-30 04:41 . 2008-05-08 23:58 135,168 --a------ C:\Windows\System32\cscript.exe
2008-07-30 04:41 . 2008-05-08 23:59 90,112 --a------ C:\Windows\System32\wshext.dll
2008-07-30 00:11 . 2008-07-30 00:11 <REP> d-------- C:\Users\All Users\Adobe
2008-07-29 19:17 . 2008-07-29 19:17 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-07-28 13:36 . 2008-08-06 23:15 <REP> d-------- C:\Users\All Users\Lavasoft
2008-07-28 13:36 . 2008-08-06 23:15 <REP> d-------- C:\ProgramData\Lavasoft
2008-07-28 09:06 . 2008-07-28 09:06 <REP> d-------- C:\Users\All Users\HP Product Assistant
2008-07-28 09:06 . 2008-07-28 09:06 <REP> d-------- C:\ProgramData\HP Product Assistant
2008-07-28 08:39 . 2008-08-08 15:29 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-07-28 08:39 . 2008-08-08 15:29 <REP> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-07-28 08:19 . 2008-08-08 15:29 <REP> d-------- C:\Users\All Users\HP
2008-07-28 08:19 . 2008-08-08 15:29 <REP> d-------- C:\ProgramData\HP
2008-07-25 08:28 . 2008-07-25 08:27 102,664 --a------ C:\Windows\System32\drivers\tmcomm.sys
2008-07-25 08:27 . 2008-06-19 17:24 28,544 --a------ C:\Windows\System32\drivers\pavboot.sys
2008-07-25 08:23 . 2008-07-25 08:23 25,748,413 --a------ C:\Windows\VPTNFILE.433
2008-07-24 23:43 . 2008-07-24 23:43 <REP> d-------- C:\Windows\McAfee.com
2008-07-24 23:27 . 2008-07-30 23:46 <REP> d-------- C:\Windows\report
2008-07-24 23:25 . 2008-07-25 08:23 <REP> d-------- C:\Windows\AU_Backup
2008-07-24 23:25 . 2008-07-24 23:25 1,962,632 --a------ C:\Windows\tsc.ptn
2008-07-24 23:25 . 2008-07-25 08:23 1,213,784 --a------ C:\Windows\vsapi32.dll
2008-07-24 23:25 . 2008-07-24 23:25 333,576 --a------ C:\Windows\TSC.exe
2008-07-24 23:25 . 2008-07-25 08:23 91,744 --a------ C:\Windows\BPMNT.dll
2008-07-24 23:25 . 2008-07-24 23:25 71,749 --a------ C:\Windows\hcextoutput.dll
2008-07-24 23:25 . 2008-08-04 13:43 823 --a------ C:\Windows\tsc.ini
2008-07-24 23:23 . 2008-07-24 23:23 <REP> d-------- C:\Windows\AU_Log
2008-07-24 23:23 . 2008-07-24 23:23 507,904 --a------ C:\Windows\TMUPDATE.DLL
2008-07-24 23:23 . 2008-07-24 23:23 286,720 --a------ C:\Windows\PATCH.EXE
2008-07-24 23:23 . 2008-07-24 23:23 69,689 --a------ C:\Windows\UNZIP.DLL
2008-07-24 23:23 . 2008-07-30 23:44 170 --a------ C:\Windows\GetServer.ini
2008-07-23 19:18 . 2008-01-19 09:33 8,139,264 --a------ C:\Windows\System32\ssBranded.scr
2008-07-23 19:17 . 2008-01-19 09:33 2,515,968 --a------ C:\Windows\System32\accessibilitycpl.dll
2008-07-23 19:16 . 2008-01-19 09:35 3,072,000 --a------ C:\Windows\System32\networkmap.dll
2008-07-23 19:15 . 2008-01-19 09:32 1,370,624 --a------ C:\Windows\System32\Aurora.scr
2008-07-23 19:14 . 2008-01-19 09:32 5,714,432 --a------ C:\Windows\System32\logon.scr
2008-07-23 19:13 . 2008-01-19 08:06 8,147,456 --a------ C:\Windows\System32\wmploc.DLL
2008-07-23 19:11 . 2008-01-19 09:36 704,512 --a------ C:\Windows\System32\SmiEngine.dll
2008-07-23 19:11 . 2008-01-19 09:36 357,888 --a------ C:\Windows\System32\wbemcomn.dll
2008-07-23 19:11 . 2008-01-19 09:34 305,152 --a------ C:\Windows\System32\msdelta.dll
2008-07-23 19:11 . 2008-01-19 09:34 258,560 --a------ C:\Windows\System32\dpx.dll
2008-07-23 19:11 . 2008-01-19 09:34 246,784 --a------ C:\Windows\System32\drvstore.dll
2008-07-23 19:11 . 2008-01-19 09:36 218,624 --a------ C:\Windows\System32\wdscore.dll
2008-07-23 19:11 . 2008-01-19 09:36 139,264 --a------ C:\Windows\System32\SmiInstaller.dll
2008-07-23 19:11 . 2008-01-19 09:33 130,560 --a------ C:\Windows\System32\PkgMgr.exe
2008-07-23 19:11 . 2008-01-19 09:35 35,328 --a------ C:\Windows\System32\mspatcha.dll
2008-07-23 15:15 . 2008-07-23 15:15 8,284 --a------ C:\Windows\System32\eps_icon.avi
2008-07-22 10:58 . 2008-07-22 10:58 43,521 ---hs---- C:\Windows\System32\ghhvnsdl.ini
2008-07-22 02:18 . 2008-07-22 07:26 43,581 ---hs---- C:\Windows\System32\obarnogc.ini
2008-07-22 01:17 . 2005-05-26 15:34 2,297,552 --a------ C:\Windows\System32\d3dx9_26.dll
2008-07-20 08:32 . 2008-07-20 08:32 9,847,296 --a------ C:\Windows\System32\NlsData000a.dll
2008-07-11 12:54 . 2008-07-11 12:54 988,216 --a------ C:\Windows\System32\winload.exe
2008-07-11 12:54 . 2008-07-11 12:54 927,288 --a------ C:\Windows\System32\winresume.exe
2008-07-11 12:54 . 2008-07-11 12:54 615,992 --a------ C:\Windows\System32\ci.dll
2008-07-11 12:54 . 2008-07-11 12:54 378,368 --a------ C:\Windows\System32\srcore.dll
2008-07-11 12:54 . 2008-07-11 12:54 318,464 --a------ C:\Windows\System32\rstrui.exe
2008-07-11 12:54 . 2008-07-11 12:54 46,592 --a------ C:\Windows\System32\setbcdlocale.dll
2008-07-11 12:54 . 2008-07-11 12:54 40,960 --a------ C:\Windows\System32\srclient.dll
2008-07-11 12:54 . 2008-07-11 12:54 19,000 --a------ C:\Windows\System32\kd1394.dll
2008-07-11 12:54 . 2008-07-11 12:54 14,848 --a------ C:\Windows\System32\srdelayed.exe
2008-07-11 12:54 . 2008-07-11 12:54 6,656 --a------ C:\Windows\System32\kbd106n.dll
2008-07-11 12:53 . 2008-07-11 12:53 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-07-11 12:53 . 2008-07-11 12:53 14,848 --a------ C:\Windows\System32\wshrm.dll
2008-07-11 12:52 . 2008-07-11 12:52 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-07-11 12:52 . 2008-07-11 12:52 1,695,744 --a------ C:\Windows\System32\gameux.dll
2008-07-11 12:51 . 2008-07-11 12:51 1,314,816 --a------ C:\Windows\System32\quartz.dll
2008-07-11 12:51 . 2008-07-11 12:51 428,544 --a------ C:\Windows\System32\EncDec.dll
2008-07-11 12:51 . 2008-07-11 12:51 293,376 --a------ C:\Windows\System32\psisdecd.dll
2008-07-11 12:51 . 2008-07-11 12:51 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-07-11 12:51 . 2008-07-11 12:51 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-07-11 12:51 . 2008-07-11 12:51 69,632 --a------ C:\Windows\System32\Mpeg2Data.ax
2008-07-11 12:51 . 2008-07-11 12:51 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-07-11 12:48 . 2008-07-11 12:48 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-07-11 12:48 . 2008-07-11 12:48 826,880 --a------ C:\Windows\System32\wininet.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 21:54 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-08 21:48 --------- d-----w C:\Program Files\Avast
2008-08-08 20:26 --------- d-----w C:\Program Files\eMule
2008-08-08 13:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-08 13:30 --------- d-----w C:\Program Files\QuickTime
2008-08-08 13:30 --------- d-----w C:\Program Files\HP
2008-08-08 13:30 --------- d-----w C:\Program Files\Heredis 8
2008-08-08 13:30 --------- d-----w C:\Program Files\EBP
2008-08-08 13:30 --------- d-----w C:\Program Files\EasyDivX
2008-08-08 13:30 --------- d-----w C:\Program Files\DivX
2008-08-08 13:29 --------- d-----w C:\Users\Daniel\AppData\Roaming\Todae
2008-08-08 13:29 --------- d-----w C:\Users\Daniel\AppData\Roaming\Roxio
2008-08-08 13:29 --------- d-----w C:\Users\Daniel\AppData\Roaming\IMSI
2008-08-06 22:21 --------- d-----w C:\Program Files\Spybot
2008-08-06 22:19 2,560 ----a-w C:\Windows\_MSRSTRT.EXE
2008-08-03 09:15 --------- d-----w C:\Program Files\avinst
2008-07-29 05:48 174 --sha-w C:\Program Files\desktop.ini
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Sidebar
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Mail
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Journal
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Defender
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Calendar
2008-07-29 05:40 --------- d-----w C:\Program Files\Microsoft Games
2008-07-24 21:55 --------- d-----w C:\Program Files\Java
2008-07-21 12:37 --------- d-----w C:\Program Files\Mail PassView
2008-07-11 10:52 540,672 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-07-11 10:52 458,752 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-11 10:52 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-07-11 10:52 2,153,984 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-11 10:52 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-07-08 13:41 --------- d-----w C:\Program Files\Common Files\HP
2008-07-08 13:26 --------- d-----w C:\Program Files\Packard Bell
2008-07-08 13:26 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-07-08 06:15 --------- d-----w C:\Users\Daniel\AppData\Roaming\HP
2008-07-07 09:08 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-02-27 13:58 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-02-27 13:58 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-02-27 13:58 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]
"Copernic Desktop Search 2"="C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" [2008-03-03 22:45 1583624]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 09:33 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SecurDisc"="C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480]
"InCD"="C:\Program Files\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 21:34 49152]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-12 05:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-12 05:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-12 05:28 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 16:38 4390912 C:\Windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codec"= l3codecp.acm
"msacm.divxa32"= divxa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1178637878-977580592-3688612770-1002]
"EnableNotificationsRef"=dword:00000006

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{C1B5ACE4-1743-43FA-A0D9-91E9F5238771}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A304AA59-9047-4DF0-9100-6A83B31CEDE8}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{6D7E9487-0FBE-422D-A957-FF33F42A0764}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{58890A74-79E0-475B-A76E-D68B90DEED0A}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"TCP Query User{CE5983C2-45D5-4A0C-ABD2-3CBB2B8B47AB}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{F6351E53-B430-4D7E-93BA-D5C2F8B0520F}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{8E9A3699-FFAC-4497-A926-614940F6D797}"= UDP:C:\Program Files\Grisoft\AVG Free\avginet.exe:avginet.exe
"{1F7A1861-0C44-41F9-9C21-42CB4D3CA7A8}"= TCP:C:\Program Files\Grisoft\AVG Free\avginet.exe:avginet.exe
"{D540AA14-192A-487E-A06D-0CE0018924F2}"= UDP:C:\Program Files\Grisoft\AVG Free\avgamsvr.exe:avgamsvr.exe
"{53B7AC63-95A9-4774-965D-8298694612E8}"= TCP:C:\Program Files\Grisoft\AVG Free\avgamsvr.exe:avgamsvr.exe
"{62A8325C-7988-457A-9E9C-33A0197C565E}"= UDP:C:\Program Files\Grisoft\AVG Free\avgcc.exe:avgcc.exe
"{319EDE3F-9C54-4448-B89E-F7389C2BC7A5}"= TCP:C:\Program Files\Grisoft\AVG Free\avgcc.exe:avgcc.exe

R0 pavboot;pavboot;C:\Windows\system32\drivers\pavboot.sys [2008-06-19 17:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contents of the 'Scheduled Tasks' folder

2008-08-09 C:\Windows\Tasks\Extension de garantie.job
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe [2006-11-21 18:38]

2008-08-09 C:\Windows\Tasks\Recovery DVD Creator.job
- C:\Program Files\Packard Bell\SetupMyPc\MCDCheck.exe [2006-11-21 18:34]

2008-08-08 C:\Windows\Tasks\User_Feed_Synchronization-{CA5197DF-187B-482A-9EAF-118C02B63186}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-19 09:33]
.
- - - - ORPHANS REMOVED - - - -

BHO-{2101E4F4-AE9D-4D88-BD4E-098BD7BCD250} - (no file)
BHO-{60093FC9-BB69-4540-8AEE-163F580686F6} - (no file)
HKLM-Run-NeroFilterCheck - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\p6ja84u3.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-09 02:15:36
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Cobian Backup 8\cbService.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Completion time: 2008-08-09 2:18:51 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-09 00:18:34

Pre-Run: 114,930,253,824 octets libres
Post-Run: 114,713,206,784 octets libres

307 --- E O F --- 2008-08-08 05:53:31
répondre
dédétraqué le 09 aout 2008 à 02h36
Salut Daile


- Télécharge ELIBAGLA sur le bureau ici :

http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar ELIBAGLA" en bas de la page).

Redémarre ton PC en mode sans échec

Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur


- Double clique sur ELIBAGLA.AHGBH.EXE sur le bureau

- Dans la nouvelle fenêtre clique sur Explorar et patiente jusqu'à la fin du scan.

- Poste le contenu du rapport qui ce trouve sur C:\ infoSat.txt


@++
répondre
Daile le 09 aout 2008 à 02h55
Salut Dédétraqué,

Voilà pour le rapport InfoSat :


Sat Aug 09 02:45:13 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sat Aug 09 02:45:19 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\Windows\System32\MDELK.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\WINTEMS.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\drivers\SROSA.SYS.VIR --> Eliminado Bagle (rootkit)
C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\118389.EXE.VIR --> Eliminado Bagle
C:\QooBox\Quarantine\C\Windows\System32\drivers\downld\93257.EXE.VIR --> Eliminado Bagle

Nº Total de Directorios: 17466
Nº Total de Ficheros: 99748
Nº de Ficheros Analizados: 17376
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5
répondre
dédétraqué le 09 aout 2008 à 03h02
Salut Daile


- Supprime C:\ Qoobox
- Supprime C:\ infoSat.txt
- Vide la corbeille


Refais un scan avec Combofix et poste le rapport


@++
répondre
Daile le 09 aout 2008 à 03h11
Salut Dédétraqué,

Voilà pour le rapport Combofix:

ComboFix 08-08-08.06 - Daniel 2008-08-09 3:05:25.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1379 [GMT 2:00]
Endroit: C:\Users\Daniel\daile.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-09 to 2008-08-09 ))))))))))))))))))))))))))))))))))))
.

2008-08-09 02:39 . 2008-08-09 02:39 55,819 --a------ C:\Users\Daniel\ELIBAGLA.%D8A%D8IB%D8%D8H.EXE
2008-08-09 02:04 . 2008-08-09 02:04 2,708,945 --a------ C:\Users\Daniel\daile.exe
2008-08-09 00:12 . 2008-08-09 00:12 <REP> d-------- C:\Windows\System32\Kaspersky Lab
2008-08-09 00:01 . 2008-08-09 00:01 <REP> dr------- C:\Users\Daniel\Searches
2008-08-08 23:45 . 2008-08-08 23:45 <REP> d-------- C:\Program Files\Alwil Software
2008-08-08 23:45 . 2008-07-19 16:36 51,280 --a------ C:\Windows\System32\drivers\aswMonFlt.sys
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Public\Videos
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Public\Pictures
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Public\Music
2008-08-08 16:26 . 2008-08-08 16:26 <REP> dr------- C:\Users\Daniel\Videos
2008-08-08 09:17 . 2008-08-08 09:17 <REP> d-------- C:\Users\All Users\WEBREG
2008-08-08 09:17 . 2008-08-08 09:17 <REP> d-------- C:\PROGRA~2\WEBREG
2008-08-08 09:16 . 2008-08-08 09:16 <REP> d-------- C:\Users\All Users\Hewlett-Packard
2008-08-08 09:16 . 2008-08-08 09:16 <REP> d-------- C:\PROGRA~2\Hewlett-Packard
2008-08-07 10:38 . 2008-08-07 10:45 <REP> d-------- C:\Users\All Users\Ciel
2008-08-07 10:38 . 2008-08-07 10:45 <REP> d-------- C:\PROGRA~2\Ciel
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Videos
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Searches
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Saved Games
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Pictures
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Links
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Downloads
2008-08-07 10:36 . 2008-08-07 10:36 <REP> dr------- C:\Windows\System32\config\systemprofile\Documents
2008-08-07 10:36 . 2008-08-07 10:45 <REP> d-------- C:\Program Files\Ciel
2008-08-07 07:07 . 2008-08-07 12:47 <REP> d-------- C:\Users\All Users\NVIDIA
2008-08-07 07:07 . 2008-08-07 12:47 <REP> d-------- C:\PROGRA~2\NVIDIA
2008-08-06 23:15 . 2008-08-06 23:15 <REP> d-------- C:\Program Files\Lavasoft
2008-08-06 23:14 . 2008-08-06 23:14 <REP> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-08-04 13:30 . 2007-11-08 11:04 11,967,524 --a------ C:\Windows\System32\korwbrkr.lex
2008-07-30 23:46 . 2008-07-25 08:23 25,748,413 --a------ C:\Windows\LPT$VPN.433
2008-07-30 23:44 . 2008-07-30 23:44 <REP> d-------- C:\Windows\AU_Temp
2008-07-30 05:28 . 2008-04-26 10:25 3,600,952 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-07-30 05:28 . 2008-04-26 10:25 3,549,240 --a------ C:\Windows\System32\ntoskrnl.exe
2008-07-30 05:28 . 2008-04-26 10:26 891,448 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-07-30 05:28 . 2008-04-12 05:32 784,896 --a------ C:\Windows\System32\rpcrt4.dll
2008-07-30 05:28 . 2008-05-10 05:35 564,736 --a------ C:\Windows\System32\emdmgmt.dll
2008-07-30 05:28 . 2008-04-05 03:21 72,192 --a------ C:\Windows\System32\drivers\pacer.sys
2008-07-30 05:28 . 2008-04-05 05:34 15,360 --a------ C:\Windows\System32\pacerprf.dll
2008-07-30 04:41 . 2008-05-08 23:59 430,080 --a------ C:\Windows\System32\vbscript.dll
2008-07-30 04:41 . 2008-05-08 23:59 180,224 --a------ C:\Windows\System32\scrobj.dll
2008-07-30 04:41 . 2008-05-08 23:59 172,032 --a------ C:\Windows\System32\scrrun.dll
2008-07-30 04:41 . 2008-05-08 23:59 155,648 --a------ C:\Windows\System32\wscript.exe
2008-07-30 04:41 . 2008-05-08 23:58 135,168 --a------ C:\Windows\System32\wshom.ocx
2008-07-30 04:41 . 2008-05-08 23:58 135,168 --a------ C:\Windows\System32\cscript.exe
2008-07-30 04:41 . 2008-05-08 23:59 90,112 --a------ C:\Windows\System32\wshext.dll
2008-07-30 00:11 . 2008-07-30 00:11 <REP> d-------- C:\Users\All Users\Adobe
2008-07-29 19:17 . 2008-07-29 19:17 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-07-28 13:36 . 2008-08-06 23:15 <REP> d-------- C:\Users\All Users\Lavasoft
2008-07-28 13:36 . 2008-08-06 23:15 <REP> d-------- C:\PROGRA~2\Lavasoft
2008-07-28 09:06 . 2008-07-28 09:06 <REP> d-------- C:\Users\All Users\HP Product Assistant
2008-07-28 09:06 . 2008-07-28 09:06 <REP> d-------- C:\PROGRA~2\HP Product Assistant
2008-07-28 08:39 . 2008-08-08 15:29 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-07-28 08:39 . 2008-08-08 15:29 <REP> d-------- C:\PROGRA~2\Spybot - Search & Destroy
2008-07-28 08:19 . 2008-08-08 15:29 <REP> d-------- C:\Users\All Users\HP
2008-07-28 08:19 . 2008-08-08 15:29 <REP> d-------- C:\PROGRA~2\HP
2008-07-25 08:28 . 2008-07-25 08:27 102,664 --a------ C:\Windows\System32\drivers\tmcomm.sys
2008-07-25 08:27 . 2008-06-19 17:24 28,544 --a------ C:\Windows\System32\drivers\pavboot.sys
2008-07-25 08:23 . 2008-07-25 08:23 25,748,413 --a------ C:\Windows\VPTNFILE.433
2008-07-24 23:43 . 2008-07-24 23:43 <REP> d-------- C:\Windows\McAfee.com
2008-07-24 23:27 . 2008-07-30 23:46 <REP> d-------- C:\Windows\report
2008-07-24 23:25 . 2008-07-25 08:23 <REP> d-------- C:\Windows\AU_Backup
2008-07-24 23:25 . 2008-07-24 23:25 1,962,632 --a------ C:\Windows\tsc.ptn
2008-07-24 23:25 . 2008-07-25 08:23 1,213,784 --a------ C:\Windows\vsapi32.dll
2008-07-24 23:25 . 2008-07-24 23:25 333,576 --a------ C:\Windows\TSC.exe
2008-07-24 23:25 . 2008-07-25 08:23 91,744 --a------ C:\Windows\BPMNT.dll
2008-07-24 23:25 . 2008-07-24 23:25 71,749 --a------ C:\Windows\hcextoutput.dll
2008-07-24 23:25 . 2008-08-04 13:43 823 --a------ C:\Windows\tsc.ini
2008-07-24 23:23 . 2008-07-24 23:23 <REP> d-------- C:\Windows\AU_Log
2008-07-24 23:23 . 2008-07-24 23:23 507,904 --a------ C:\Windows\TMUPDATE.DLL
2008-07-24 23:23 . 2008-07-24 23:23 286,720 --a------ C:\Windows\PATCH.EXE
2008-07-24 23:23 . 2008-07-24 23:23 69,689 --a------ C:\Windows\UNZIP.DLL
2008-07-24 23:23 . 2008-07-30 23:44 170 --a------ C:\Windows\GetServer.ini
2008-07-23 19:18 . 2008-01-19 09:33 8,139,264 --a------ C:\Windows\System32\ssBranded.scr
2008-07-23 19:17 . 2008-01-19 09:33 2,515,968 --a------ C:\Windows\System32\accessibilitycpl.dll
2008-07-23 19:16 . 2008-01-19 09:35 3,072,000 --a------ C:\Windows\System32\networkmap.dll
2008-07-23 19:15 . 2008-01-19 09:32 1,370,624 --a------ C:\Windows\System32\Aurora.scr
2008-07-23 19:14 . 2008-01-19 09:32 5,714,432 --a------ C:\Windows\System32\logon.scr
2008-07-23 19:13 . 2008-01-19 08:06 8,147,456 --a------ C:\Windows\System32\wmploc.DLL
2008-07-23 19:11 . 2008-01-19 09:36 704,512 --a------ C:\Windows\System32\SmiEngine.dll
2008-07-23 19:11 . 2008-01-19 09:36 357,888 --a------ C:\Windows\System32\wbemcomn.dll
2008-07-23 19:11 . 2008-01-19 09:34 305,152 --a------ C:\Windows\System32\msdelta.dll
2008-07-23 19:11 . 2008-01-19 09:34 258,560 --a------ C:\Windows\System32\dpx.dll
2008-07-23 19:11 . 2008-01-19 09:34 246,784 --a------ C:\Windows\System32\drvstore.dll
2008-07-23 19:11 . 2008-01-19 09:36 218,624 --a------ C:\Windows\System32\wdscore.dll
2008-07-23 19:11 . 2008-01-19 09:36 139,264 --a------ C:\Windows\System32\SmiInstaller.dll
2008-07-23 19:11 . 2008-01-19 09:33 130,560 --a------ C:\Windows\System32\PkgMgr.exe
2008-07-23 19:11 . 2008-01-19 09:35 35,328 --a------ C:\Windows\System32\mspatcha.dll
2008-07-23 15:15 . 2008-07-23 15:15 8,284 --a------ C:\Windows\System32\eps_icon.avi
2008-07-22 10:58 . 2008-07-22 10:58 43,521 ---hs---- C:\Windows\System32\ghhvnsdl.ini
2008-07-22 02:18 . 2008-07-22 07:26 43,581 ---hs---- C:\Windows\System32\obarnogc.ini
2008-07-22 01:17 . 2005-05-26 15:34 2,297,552 --a------ C:\Windows\System32\d3dx9_26.dll
2008-07-20 08:32 . 2008-07-20 08:32 9,847,296 --a------ C:\Windows\System32\NlsData000a.dll
2008-07-11 12:54 . 2008-07-11 12:54 988,216 --a------ C:\Windows\System32\winload.exe
2008-07-11 12:54 . 2008-07-11 12:54 927,288 --a------ C:\Windows\System32\winresume.exe
2008-07-11 12:54 . 2008-07-11 12:54 615,992 --a------ C:\Windows\System32\ci.dll
2008-07-11 12:54 . 2008-07-11 12:54 378,368 --a------ C:\Windows\System32\srcore.dll
2008-07-11 12:54 . 2008-07-11 12:54 318,464 --a------ C:\Windows\System32\rstrui.exe
2008-07-11 12:54 . 2008-07-11 12:54 46,592 --a------ C:\Windows\System32\setbcdlocale.dll
2008-07-11 12:54 . 2008-07-11 12:54 40,960 --a------ C:\Windows\System32\srclient.dll
2008-07-11 12:54 . 2008-07-11 12:54 19,000 --a------ C:\Windows\System32\kd1394.dll
2008-07-11 12:54 . 2008-07-11 12:54 14,848 --a------ C:\Windows\System32\srdelayed.exe
2008-07-11 12:54 . 2008-07-11 12:54 6,656 --a------ C:\Windows\System32\kbd106n.dll
2008-07-11 12:53 . 2008-07-11 12:53 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-07-11 12:53 . 2008-07-11 12:53 14,848 --a------ C:\Windows\System32\wshrm.dll
2008-07-11 12:52 . 2008-07-11 12:52 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-07-11 12:52 . 2008-07-11 12:52 1,695,744 --a------ C:\Windows\System32\gameux.dll
2008-07-11 12:51 . 2008-07-11 12:51 1,314,816 --a------ C:\Windows\System32\quartz.dll
2008-07-11 12:51 . 2008-07-11 12:51 428,544 --a------ C:\Windows\System32\EncDec.dll
2008-07-11 12:51 . 2008-07-11 12:51 293,376 --a------ C:\Windows\System32\psisdecd.dll
2008-07-11 12:51 . 2008-07-11 12:51 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-07-11 12:51 . 2008-07-11 12:51 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-07-11 12:51 . 2008-07-11 12:51 69,632 --a------ C:\Windows\System32\Mpeg2Data.ax
2008-07-11 12:51 . 2008-07-11 12:51 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-07-11 12:48 . 2008-07-11 12:48 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-07-11 12:48 . 2008-07-11 12:48 826,880 --a------ C:\Windows\System32\wininet.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 21:54 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-08 21:48 --------- d-----w C:\Program Files\Avast
2008-08-08 20:26 --------- d-----w C:\Program Files\eMule
2008-08-08 13:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-08 13:30 --------- d-----w C:\Program Files\QuickTime
2008-08-08 13:30 --------- d-----w C:\Program Files\HP
2008-08-08 13:30 --------- d-----w C:\Program Files\Heredis 8
2008-08-08 13:30 --------- d-----w C:\Program Files\EBP
2008-08-08 13:30 --------- d-----w C:\Program Files\EasyDivX
2008-08-08 13:30 --------- d-----w C:\Program Files\DivX
2008-08-08 13:29 --------- d-----w C:\Users\Daniel\AppData\Roaming\Todae
2008-08-08 13:29 --------- d-----w C:\Users\Daniel\AppData\Roaming\Roxio
2008-08-08 13:29 --------- d-----w C:\Users\Daniel\AppData\Roaming\IMSI
2008-08-07 08:37 155,995 ----a-w C:\Windows\Java\Packages\13VD3HJR.ZIP
2008-08-06 22:21 --------- d-----w C:\Program Files\Spybot
2008-08-06 22:19 2,560 ----a-w C:\Windows\_MSRSTRT.EXE
2008-08-03 09:15 --------- d-----w C:\Program Files\avinst
2008-07-29 05:48 174 --sha-w C:\Program Files\desktop.ini
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Sidebar
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Mail
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Journal
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Defender
2008-07-29 05:41 --------- d-----w C:\Program Files\Windows Calendar
2008-07-29 05:40 --------- d-----w C:\Program Files\Microsoft Games
2008-07-29 05:11 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-07-29 05:11 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-07-24 21:55 --------- d-----w C:\Program Files\Java
2008-07-21 12:37 --------- d-----w C:\Program Files\Mail PassView
2008-07-20 06:32 801,280 ----a-w C:\Windows\System32\NaturalLanguage6.dll
2008-07-11 10:52 540,672 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-07-11 10:52 458,752 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-11 10:52 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-07-11 10:52 2,153,984 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-11 10:52 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-07-08 13:41 --------- d-----w C:\Program Files\Common Files\HP
2008-07-08 13:26 --------- d-----w C:\Program Files\Packard Bell
2008-07-08 13:26 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-07-08 06:15 --------- d-----w C:\Users\Daniel\AppData\Roaming\HP
2008-07-07 09:08 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-05-27 05:21 1,582,592 ----a-w C:\Windows\System32\tquery.dll
2008-05-27 05:21 1,418,240 ----a-w C:\Windows\System32\mssrch.dll
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\SearchFilterHost.exe
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\mssitlb.dll
2008-05-27 05:17 754,176 ----a-w C:\Windows\System32\propsys.dll
2008-05-27 05:17 60,416 ----a-w C:\Windows\System32\msscntrs.dll
2008-05-27 05:17 6,103,040 ----a-w C:\Windows\System32\chtbrkr.dll
2008-05-27 05:17 34,816 ----a-w C:\Windows\System32\msscb.dll
2008-05-27 05:17 32,768 ----a-w C:\Windows\System32\mssprxy.dll
2008-05-27 05:17 313,344 ----a-w C:\Windows\System32\thawbrkr.dll
2008-05-27 05:17 301,568 ----a-w C:\Windows\System32\srchadmin.dll
2008-05-27 05:17 194,560 ----a-w C:\Windows\System32\offfilt.dll
2008-05-27 05:17 143,872 ----a-w C:\Windows\System32\korwbrkr.dll
2008-05-27 05:17 11,776 ----a-w C:\Windows\System32\msshooks.dll
2008-05-27 05:17 1,671,680 ----a-w C:\Windows\System32\chsbrkr.dll
2008-05-27 04:59 18,904 ----a-w C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-05-27 04:59 106,605 ----a-w C:\Windows\System32\StructuredQuerySchema.bin
2008-05-16 09:58 12,632 ----a-w C:\Windows\System32\lsdelete.exe
2008-02-27 13:58 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-02-27 13:58 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-02-27 13:58 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]
"Copernic Desktop Search 2"="C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" [2008-03-03 22:45 1583624]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 09:33 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SecurDisc"="C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 08:47 1629480]
"InCD"="C:\Program Files\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 08:47 1057064]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 21:34 49152]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-12 05:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-12 05:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-12 05:28 81920]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 16:38 4390912 C:\Windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codec"= l3codecp.acm
"msacm.divxa32"= divxa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1178637878-977580592-3688612770-1002]
"EnableNotificationsRef"=dword:00000006

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{C1B5ACE4-1743-43FA-A0D9-91E9F5238771}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A304AA59-9047-4DF0-9100-6A83B31CEDE8}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{6D7E9487-0FBE-422D-A957-FF33F42A0764}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{58890A74-79E0-475B-A76E-D68B90DEED0A}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"TCP Query User{CE5983C2-45D5-4A0C-ABD2-3CBB2B8B47AB}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{F6351E53-B430-4D7E-93BA-D5C2F8B0520F}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{8E9A3699-FFAC-4497-A926-614940F6D797}"= UDP:C:\Program Files\Grisoft\AVG Free\avginet.exe:avginet.exe
"{1F7A1861-0C44-41F9-9C21-42CB4D3CA7A8}"= TCP:C:\Program Files\Grisoft\AVG Free\avginet.exe:avginet.exe
"{D540AA14-192A-487E-A06D-0CE0018924F2}"= UDP:C:\Program Files\Grisoft\AVG Free\avgamsvr.exe:avgamsvr.exe
"{53B7AC63-95A9-4774-965D-8298694612E8}"= TCP:C:\Program Files\Grisoft\AVG Free\avgamsvr.exe:avgamsvr.exe
"{62A8325C-7988-457A-9E9C-33A0197C565E}"= UDP:C:\Program Files\Grisoft\AVG Free\avgcc.exe:avgcc.exe
"{319EDE3F-9C54-4448-B89E-F7389C2BC7A5}"= TCP:C:\Program Files\Grisoft\AVG Free\avgcc.exe:avgcc.exe

R0 pavboot;pavboot;C:\Windows\system32\drivers\pavboot.sys [2008-06-19 17:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Users\Daniel\AppData\Roaming\Mozilla\Firefox\Profiles\p6ja84u3.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-09 03:07:12
Windows 6.0.6001 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...


C:\Users\Daniel\AppData\Local\Temp\CCLDiskBuffer-2356-1-662ED674.tmp 1770906 bytes

Scan terminé avec succès
Les fichiers cachés: 1

**************************************************************************
.
Temps d'accomplissement: 2008-08-09 3:08:52
ComboFix-quarantined-files.txt 2008-08-09 01:08:30
ComboFix2.txt 2008-08-09 00:18:51

Pre-Run: 114,661,203,968 octets libres
Post-Run: 114,628,796,416 octets libres

257 --- E O F --- 2008-08-08 05:53:31
répondre
dédétraqué le 09 aout 2008 à 03h18
Salut Daile


Poste moi un nouveau rapport HijackThis SVP


@++
répondre
Daile le 09 aout 2008 à 03h21
Salut Dédétraqué,

Voilà pour le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:20:02, on 09/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\mobsync.exe
C:\Windows\System32\rundll32.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Games\SpiderSolitaire\SpiderSolitaire.exe
C:\Users\Daniel\Downloads\SECURITE\HIJACK THIS\HiJackThis 2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&p(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Money\System\mnyside.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand203000018.dll
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Money\System\mnyside.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5346/mcfscan.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 5656 bytes

répondre
dédétraqué le 09 aout 2008 à 03h39
Salut Daile


Procédure à appliquer en entier. Si tu as des difficultés à une étape passe la mais signale le dans ta prochaine réponse.
- Si tu as des questions à poser n'hésite pas



Je te conseille d'enregistrer la page web complète sous Internet Explorer comme ceci :

Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht)

- Donne lui un nom
- Enregistre la sur le bureau. Comme cela tu retrouveras la mise en forme. Ou bien imprime cette réponse, une partie de la désinfection se déroulera en mode sans échec sans prise en charge du réseau. L'accès à Internet ne sera donc pas possible


-----


Télécharger :

- OTMoveIt (de Old_Timer) sur le bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe


Télécharge et installe :

- Ccleaner http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs(...)
- Lors de son installation décoche la case devant : Ajouter la Barre d'Outils Yahoo! CCleaner


- MalwareByte's Anti-Malware http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

- Mets le à jour

- Aide : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php


-----


Clique sur le menu démarrer/Exécuter et tape services.msc clique sur Ok
- repère ce service :


Symantec Lic NetConnect service (CLTNetCnService)
Google Updater Service (gusvc)
stllssvr


- Fais un double clic dessus :


A Type de démarrage choisis Désactivé.

- Clic ensuite sur Appliquer et Ok quitte le gestionnaire des services.


-----


Redémarre ton PC en mode sans échec

Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur


-----


Relance Hijackthis, clique sur Do a scan system only coche la case devant les lignes suivantes

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe (file missing)


- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

Dans Hijackthis clic sur Open the Misc Tools section, clique surDelete an Nt sercice

- Copie/colle ou tape stllssvr
gusvc
CLTNetCnService

- Clique sur Ok ensuite sur Oui

- Quitte HijackThis


-----


Démarre Ccleaner

- Clique sur Options, onglet Avancé et décoche la case Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures.

- Clique sur Registre décoche la case devant Intégrité du registre

- Clique sur Nettoyeur
- Onglet Windows ne coche pas la case Avancé
- Onglet Applications laisse toutes les cases cochées


- Clique sur le bouton Analyse puis celle-ci finie sur Lancer le nettoyage


-----

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok


-----


Redémarre ton PC en mode normal poste :

- Un nouveau rapport Hijackthis
- Le rapport MalwareByte's Anti-Malware


@++
répondre
Daile le 09 aout 2008 à 05h00
Salut Dédétraqué,

Téléchargements OK

CCleaner effectué

Impossible d'executer Hijackthis et MalwareByte's Anti-Malware en mode sans échec. Cela donne un message d'erreur : Erreur d'exécution 481 Image incorrecte

Mais démarre en mode normal.

Dois-je les éxecuter en mode normal ?
répondre
Daile le 09 aout 2008 à 05h09
Salut Dédétraqué,

Je pars rejoindre Morphée et reprendrai a partir de demain après-midi.

Merci déjà de cette aide

Daile
répondre
dédétraqué le 09 aout 2008 à 05h11
Salut Daile


Fais le en mode normal


@++
répondre
Daile le 10 aout 2008 à 23h58
Salut Dédétraqué,

Suite de mes aventures.

CCleaner ok en mode normal

MalwareByte's Anti-Malware en mode normal a rien trouvé

Impossible d'executer Hijackthis en mode normal cette fois et toujours le problème initial.

De guerre lasse et de rage je formatte. C'est ma manière de solder ce problème

Je suis désolé du temps que je perds et que j'ai fait perdre.

Mais surtout merci du temps passé a me répondre.

Daile

Comment puis je cloturer ce post ? Merci
répondre
dédétraqué le 11 aout 2008 à 00h04
Salut Daile


Pourtant il étais plus là, je te donne quelques consignes de sécurité :

- Windows Update parfaitement à jour http://www.windowsupdate.com/ (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware
- un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
- un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php


Si tu considère ton problème comme résolu, édite [:jlj:3] ton premier poste et ajoute [résolu] dans le titre.


@++
répondre
Daile le 11 aout 2008 à 00h38
Salut Dédétraqué,

Merci du temps que tu as passé a me répondre ainsi que des conseils que je m'efforcerai de suivre.

Daile
répondre


PRODUITS

TÉLÉCHARGER - LOGICIELS

JEUX VIDÉOS

LOISIRS

01NET PRO

AVIS ET COMMENTAIRES

A PROPOS DE 01NET

Forum de 01net / Sécurité / CreateProcess a echoue code 193 [resolu]
publicité
> Logiciel : Trend Micro
Internet Security
Une sécurité Internet maximale.

Service 01net
Newsletters 01net
abonnez vous gratuitement !
Actus
Voir le dernier numéro
Entreprise
Voir le dernier numéro
  
01Informatique
01 INFORMATIQUE
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
MICRO HEBDO
L'hebdo qui vous simplifie la micro
et Internet.
L'Ordinateur Individuel
L'ORDINATEUR INDIVIDUEL
Le mensuel informatique qui vous informe et vous conseille.
Nous contacter  |  Charte de confiance  |  Voir notice légale

01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
Tous droits réservés © 1999 - 2009 Internext - 01net.