[Résolu] mailfinder + Backdoor win 32

PZ275 le 10 octobre 2009 à 11h53

Bonjour à tous

Je suis nouveau sur ce forum et je sollicite votre aide pour me débarrasser de deux cochonneries que je n'arrive pas à éliminer, il s'agit de mailfinder et backdoor, mon antivirus me les bloque et les stocke en quarantaine mais ça revient périodiquement, j'ai essayé des tas de trucs gratuits récupérés sur le net mais sans effets. En parcourant ce forum j'ai vu des cas similaires traités par l'intermédiaire de "hijackthis" mais je ne sais pas du tout utiliser cette méthode. Quelqu'un ou quelqu'une pourrait il (elle) me donner un coup de main ?

Cordialement

Patrick

-->Message édité par PZ275 le 12/10/2009 15:59:02<--

répondre

naheulbeuk le 10 octobre 2009 à 12h33

bonjour patrick :hello:

Télécharge HijackThis

Guide d'utilisation : http://www.site-naheulbeuk.com/hijackthis.php

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

@++

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 10 octobre 2009 à 12h58

naheulbeuk a écrit :

bonjour patrick :hello:

télécharge hijackthis

guide d'utilisation : http://www.site-naheulbeuk.com/hijackthis.php

clique alors sur "do a system scan and save a logfile"
le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
dans ce bloc-note, va dans "edition", puis "selectionner tout",
le texte est alors séléctionné, retourne dans "edition" toujours
en laissant le texte séléctionné, et clique sur copier.
colle le contenu ici dans ta prochaine réponse !

@++

Merci pour ton aide Naheulbeuk !!

voilà le papyrus
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:12, on 10/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\HDD Health\hddhealth.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
F3 - REG:win.ini: load=C:\DOCUME~1\Patrick\LOCALS~1\Temp\mqtgsvc.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search

Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers

communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program

Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [HDDHealth] C:\Program Files\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\WINDOWS\System\mstinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\mstsc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System32\drivers\esentutl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\Patrick\APPLIC~1\MICROS~1\cisvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Spool] C:\WINDOWS\System32\drivers\spoolsv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\System\logman.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\ieudinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\System32\drivers\sessmgr.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\WINDOWS\System\dllhst3g.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\WINDOWS\mqtgsvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\comrepl.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Spool] C:\DOCUME~1\Patrick\LOCALS~1\Temp\spoolsv.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\Patrick\APPLIC~1\MICROS~1\mstsc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\ieudinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHst] C:\WINDOWS\System\dllhst3g.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\System32\drivers\cisvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System\esentutl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ComRepl] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\comrepl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\WINDOWS\System32\drivers\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\Patrick\LOCALS~1\APPLIC~1\ieudinit.exe /waitservice (User 'Default

user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E3F1348-4370-4BBE-A67A-CC7ED824CA85} (Microsoft Genuine Advantage Self Support Tool) -

http://go.microsoft.com/fwlink/?LinkId=82580
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housec(...)
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) -

http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers

communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update

Service\livesrv.exe
O23 - Service: LiveUpdate - SOFTWIN S.R.L. - (no file)
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - (no file)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead

Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11217 bytes

répondre

naheulbeuk le 10 octobre 2009 à 13h06

re,

bon alors t'es bel et bien infecté

Télécharge ComboFix (créé par sUBs) sur ton Bureau

Démarre en mode sans échec : http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)

Double clique combofix.exe.

Le scan va démarrer, laisse toi guider.

ComboFix redémarrera ton PC

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@++ :hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 10 octobre 2009 à 13h51

naheulbeuk a écrit :

re,

bon alors t'es bel et bien infecté

télécharge combofix (créé par subs) sur ton bureau

démarre en mode sans échec : http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)

double clique combofix.exe.

le scan va démarrer, laisse toi guider.

combofix redémarrera ton pc

lorsque le scan sera complété, un rapport apparaîtra. copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis

note : le rapport se trouve également ici : c:\combofix.txt

@++ :hello:

Voili voilà la suite Bon courage...pour moi c'est des hieroglyphes !!

COMBOFIX:

ComboFix 09-10-08.04 - Patrick 10/10/2009 13:25.1.2 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.739 [GMT 2:00]
Lancé depuis: c:\documents and settings\Patrick\Bureau\combofix.exe
AV: ZoneAlarm Security Suite Antivirus *On-access scanning enabled* (Updated) {5D467B10-818C-4CAB-9FF7-6893B5B8F3CF}
FW: ZoneAlarm Security Suite Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Patrick\Application Data\\Microsoft\logman.exe
c:\documents and settings\Patrick\Application Data\clipsrv.exe
c:\documents and settings\Patrick\Application Data\dllhst3g.exe
c:\documents and settings\Patrick\Application Data\drivers\downld
c:\documents and settings\Patrick\Application Data\logman.exe
c:\documents and settings\Patrick\Application Data\Microsoft\cisvc.exe
c:\documents and settings\Patrick\Application Data\Microsoft\comrepl.exe
c:\documents and settings\Patrick\Application Data\Microsoft\ieudinit.exe
c:\documents and settings\Patrick\Application Data\Microsoft\logman.exe
c:\documents and settings\Patrick\Application Data\Microsoft\mstinit.exe
c:\documents and settings\Patrick\Application Data\Microsoft\mstsc.exe
c:\documents and settings\Patrick\Application Data\mstinit.exe
c:\documents and settings\Patrick\Application Data\rsvp.exe
c:\documents and settings\Patrick\Application Data\spoolsv.exe
c:\documents and settings\Patrick\Local Settings\Application Data\cisvc.exe
c:\documents and settings\Patrick\Local Settings\Application Data\comrepl.exe
c:\documents and settings\Patrick\Local Settings\Application Data\ieudinit.exe
c:\documents and settings\Patrick\Local Settings\Application Data\Microsoft\cmstp.exe
c:\documents and settings\Patrick\Local Settings\Application Data\Microsoft\logman.exe
c:\documents and settings\Patrick\Local Settings\Application Data\Microsoft\mqtgsvc.exe
c:\documents and settings\Patrick\Local Settings\Application Data\Microsoft\rsvp.exe
c:\documents and settings\Patrick\Local Settings\Application Data\Microsoft\sessmgr.exe
c:\documents and settings\Patrick\Local Settings\Application Data\mstsc.exe
c:\documents and settings\Patrick\Local Settings\Application Data\sessmgr.exe
c:\documents and settings\Patrick\Local Settings\Application Data\spoolsv.exe
c:\program files\\setup.exe
c:\recycler\NPROTECT
c:\windows\27651843.exe
c:\windows\30225437.exe
c:\windows\32823765.exe
c:\windows\comrepl.exe
c:\windows\dllhst3g.exe
c:\windows\Installer\11ba8f4.msi
c:\windows\Installer\13f0ee4.msi
c:\windows\Installer\3a239b.msi
c:\windows\Installer\585198a.msi
c:\windows\Installer\8ccf53.msi
c:\windows\logman.exe
c:\windows\mqtgsvc.exe
c:\windows\mstinit.exe
c:\windows\mstsc.exe
c:\windows\patch.exe
c:\windows\system\cisvc.exe
c:\windows\system\comrepl.exe
c:\windows\system\dllhst3g.exe
c:\windows\system\esentutl.exe
c:\windows\system\ieudinit.exe
c:\windows\system\logman.exe
c:\windows\system\mqtgsvc.exe
c:\windows\System\mstinit.exe
c:\windows\system\spoolsv.exe
c:\windows\system32\abcdefgh.dll
c:\windows\system32\drivers\cisvc.exe
c:\windows\system32\drivers\cmstp.exe
c:\windows\system32\drivers\esentutl.exe
c:\windows\system32\drivers\mstsc.exe
c:\windows\system32\drivers\rsvp.exe
c:\windows\system32\drivers\sessmgr.exe
c:\windows\system32\drivers\spoolsv.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_SK9OU0S
-------\Service_111111s1ro1s1a
-------\Service_Iprip

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-10 au 2009-10-10 ))))))))))))))))))))))))))))))))))))
.

2009-10-10 10:51 . 2009-10-10 10:51 -------- dc----w- c:\program files\Trend Micro
2009-10-10 10:29 . 2009-10-10 10:48 -------- dc----w- c:\program files\Fighters
2009-10-10 10:29 . 2009-10-10 10:29 -------- dc----w- c:\documents and settings\All Users\Application Data\Fighters
2009-10-09 09:05 . 2005-07-12 12:25 401408 -c--a-w- c:\windows\system32\pvmjpg30.dll
2009-10-09 09:01 . 2007-01-26 00:04 57856 -c--a-w- c:\windows\system32\masd32.dll
2009-10-09 09:01 . 2007-01-26 00:04 27648 -c--a-w- c:\windows\system32\ma32.dll
2009-10-09 09:01 . 2007-01-26 00:04 196096 -c--a-w- c:\windows\system32\macd32.dll
2009-10-09 09:01 . 2007-01-26 00:04 138752 -c--a-w- c:\windows\system32\mase32.dll
2009-10-09 09:01 . 2007-01-26 00:04 136192 -c--a-w- c:\windows\system32\mamc32.dll
2009-10-09 08:59 . 2004-02-24 11:04 41219 -c--a-w- c:\windows\RSETPATH.exe
2009-10-09 08:55 . 2009-10-09 09:03 -------- dc----w- c:\program files\Pinnacle
2009-10-09 08:54 . 2009-10-09 08:54 -------- dc----w- c:\documents and settings\Patrick\Application Data\InstallShield
2009-10-07 16:04 . 2009-10-07 16:01 72192 -c--a-w- c:\windows\system32\tasklist.exe
2009-10-07 13:46 . 2009-10-07 13:46 952 -csha-w- c:\windows\system32\KGyGaAvL.sys
2009-10-07 11:23 . 2009-10-07 11:23 -------- dc----w- C:\VundoFix Backups
2009-10-05 10:19 . 2002-11-27 11:12 4608 -c--a-w- c:\windows\system32\W95INF32.DLL
2009-10-05 10:19 . 2002-11-27 11:12 2272 -c--a-w- c:\windows\system32\W95INF16.DLL
2009-10-05 10:12 . 2003-06-17 10:15 110592 -c--a-w- c:\windows\system32\xls.dll
2009-10-05 10:12 . 1997-07-28 12:50 96256 -c--a-w- c:\windows\system32\VB5FR.DLL
2009-10-05 10:12 . 1997-02-25 21:00 99134 -c--a-w- c:\windows\system32\VB5DE.DLL
2009-10-05 10:12 . 1995-09-24 09:02 243472 -c--a-w- c:\windows\system32\vbar2232.dll
2009-10-05 10:12 . 1996-01-11 21:00 722192 -c--a-w- c:\windows\system32\VB40032.DLL
2009-10-05 10:12 . 1995-09-20 14:16 35088 -c--a-w- c:\windows\system32\msjint32.dll
2009-10-05 10:12 . 1995-09-20 14:16 23824 -c--a-w- c:\windows\system32\msjter32.dll
2009-10-05 10:12 . 1995-09-20 14:13 977680 -c--a-w- c:\windows\system32\msjt3032.dll
2009-10-05 10:12 . 1996-12-02 15:44 582144 -c--a-w- c:\windows\system32\dao350.dll
2009-10-05 10:12 . 2009-10-05 10:12 -------- dc----w- c:\program files\Micro Application
2009-09-29 08:53 . 2009-09-29 08:56 -------- dc----w- c:\program files\FACTOURE
2009-09-27 09:05 . 2009-09-27 09:05 -------- dc----w- c:\documents and settings\Patrick\Local Settings\Application Data\Pinnacle
2009-09-27 08:18 . 2009-09-27 10:35 -------- dc----w- c:\documents and settings\Patrick\Application Data\proDAD
2009-09-27 07:38 . 2009-09-27 07:38 -------- dc----w- c:\program files\DIFX
2009-09-27 07:36 . 2009-09-27 07:36 -------- dc----w- c:\documents and settings\Patrick\Local Settings\Application Data\Downloaded Installations
2009-09-27 07:24 . 2007-01-04 08:07 171520 -c--a-w- c:\windows\system32\drivers\MarvinBus.sys
2009-09-27 07:22 . 2009-09-27 07:32 -------- dc----w- c:\documents and settings\All Users\Application Data\Pinnacle Studio
2009-09-26 20:53 . 2003-03-15 20:15 90112 -c--a-w- c:\windows\unvise32.exe
2009-09-22 21:20 . 2009-09-24 07:46 -------- dc----w- c:\documents and settings\Patrick\Application Data\Download Manager
2009-09-14 09:43 . 2009-09-14 09:43 -------- dc----w- c:\documents and settings\Patrick\Local Settings\Application Data\Unity
2009-09-14 09:43 . 2009-09-14 17:30 -------- dc----w- c:\program files\Unity

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-10 11:34 . 2009-03-26 09:20 42698016 -csha-w- c:\windows\system32\drivers\fidbox.dat
2009-10-10 11:34 . 2004-08-05 12:00 92050 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 11:34 . 2004-08-05 12:00 523678 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-10 11:34 . 2007-01-21 14:26 53530 ----a-w- c:\windows\system32\perfc040.dat
2009-10-10 11:34 . 2007-01-21 14:26 425030 ----a-w- c:\windows\system32\perfh040.dat
2009-10-10 11:32 . 2006-07-26 16:27 -------- dc----w- c:\program files\HDD Health
2009-10-10 11:17 . 2009-03-26 09:20 580064 -csha-w- c:\windows\system32\drivers\fidbox.idx
2009-10-09 08:57 . 2009-04-19 06:52 -------- dc-h--w- c:\program files\InstallShield Installation Information
2009-10-09 08:55 . 2006-04-01 20:56 -------- dc----w- c:\documents and settings\All Users\Application Data\Pinnacle
2009-10-07 08:00 . 2007-07-06 08:05 -------- dc----w- c:\program files\Spybot - Search & Destroy
2009-10-01 15:52 . 2007-05-21 21:12 -------- dc--a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-09-30 15:18 . 2009-04-19 07:50 -------- dc----w- c:\documents and settings\Patrick\Application Data\Samsung
2009-09-30 15:18 . 2009-04-19 06:52 -------- dc----w- c:\program files\Samsung
2009-09-28 17:59 . 2007-02-27 18:19 -------- dc----w- c:\program files\TextAloud
2009-09-28 10:04 . 2006-04-01 16:55 326344 -c--a-w- c:\documents and settings\Patrick\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-28 09:59 . 2009-07-18 06:18 -------- dc----w- c:\program files\ABBYY PDF Transformer 2.0
2009-09-26 20:48 . 2006-04-02 17:24 -------- dc----w- c:\program files\DivX
2009-09-26 09:16 . 2008-12-14 17:29 -------- dc----w- c:\program files\MediaCoder
2009-09-10 06:16 . 2009-08-16 13:50 -------- dc----w- c:\program files\Microsoft Silverlight
2009-08-26 17:46 . 2008-02-17 11:01 -------- dc----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-08-05 09:00 . 2004-08-05 12:00 205312 -c--a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2004-08-05 12:00 58880 -c--a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 12:00 286208 -c--a-w- c:\windows\system32\wmpdxm.dll
2008-05-08 14:18 . 2008-05-08 14:18 15397 -c--a-w- c:\program files\settings.dat
2006-08-10 14:14 . 2009-07-18 06:18 1676288 -c--a-w- c:\program files\ABBYY PDF Transformer 2.0.msi
2006-08-10 04:26 . 2009-07-18 06:18 3584 -c--a-w- c:\program files\1033.mst
2006-08-10 04:26 . 2009-07-18 06:18 97792 -c--a-w- c:\program files\1040.mst
2006-08-10 04:26 . 2009-07-18 06:18 96256 -c--a-w- c:\program files\1045.mst
2006-08-10 04:26 . 2009-07-18 06:18 94720 -c--a-w- c:\program files\1034.mst
2006-08-10 04:26 . 2009-07-18 06:18 99840 -c--a-w- c:\program files\1031.mst
2006-08-10 04:26 . 2009-07-18 06:18 95744 -c--a-w- c:\program files\1036.mst
2006-08-10 04:26 . 2009-07-18 06:18 102400 -c--a-w- c:\program files\1038.mst
2006-08-10 04:26 . 2009-07-18 06:18 99840 -c--a-w- c:\program files\1029.mst
2006-08-10 04:26 . 2009-07-18 06:18 97280 -c--a-w- c:\program files\1051.mst
2006-08-10 04:26 . 2009-07-18 06:18 91136 -c--a-w- c:\program files\1043.mst
2006-08-10 04:26 . 2009-07-18 06:18 159744 -c--a-w- c:\program files\1049.mst
2006-08-09 20:28 . 2009-07-18 06:18 330 -c--a-w- c:\program files\Setup.ini
2003-04-21 12:09 . 2009-07-18 06:18 245408 -c--a-w- c:\program files\unicows.dll
2002-03-11 09:06 . 2009-07-18 06:18 1822520 -c--a-w- c:\program files\instmsiw.exe
2006-05-06 16:42 . 2008-12-13 20:06 7260160 -c--a-w- c:\program files\mozilla firefox\plugins\libvlc.dll
2006-04-03 19:52 . 2006-04-03 19:51 56 -csh--r- c:\windows\system32\4268206A0C.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDDHealth"="c:\program files\HDD Health\hddhealth.exe" [2005-06-24 715264]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ATI CATALYST System Tray.lnk]
backup=c:\windows\pss\ATI CATALYST System Tray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LightSurf.lnk]
backup=c:\windows\pss\LightSurf.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syejo
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows update loader

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"<NO NAME>"=

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AlcWzrd"=ALCWZRD.EXE
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
"SoundMan"=SOUNDMAN.EXE
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\NextUp-Acapela\\bin\\acatel_srv.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Program Files\\Pinnacle\\Studio 11\\programs\\umi.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3587:TCP"= 3587:TCP:Groupement homologue Windows
"3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)
"57431:TCP"= 57431:TCP:Pando P2P TCP Listening Port
"57431:UDP"= 57431:UDP:Pando P2P UDP Listening Port

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R3 BENDER;Pinnacle DV/AV Capture;c:\windows\system32\drivers\bender.sys [01/04/2006 23:05 203264]
S3 AdWatchDrv;AW Realtime Driver; [x]
S3 CrystalSysInfo;CrystalSysInfo;c:\program files\MediaCoder\SysInfo.sys [25/09/2007 16:59 15152]
S3 MEMSWEEP2;MEMSWEEP2; [x]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.orange.fr/
uInternet Settings,ProxyOverride = localhost;*.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Handler: ms-its50 - {F8606A00-F5CF-11D1-B6BB-0000F80149F6} - c:\program files\Fichiers communs\Microsoft Shared\Information Retrieval\itss50.dll
FF - ProfilePath - c:\documents and settings\Patrick\Application Data\Mozilla\Firefox\Profiles\in5qhafn.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKLM-Explorer_Run-CmSTP - c:\docume~1\Patrick\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe
HKLM-Explorer_Run-rsvp - c:\docume~1\Patrick\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe
HKLM-Explorer_Run-Mstsc - c:\docume~1\Patrick\LOCALS~1\APPLIC~1\mstsc.exe
HKLM-Explorer_Run-Esent Utl - c:\windows\System32\drivers\esentutl.exe
HKLM-Explorer_Run-Cisvc - c:\docume~1\Patrick\APPLIC~1\MICROS~1\cisvc.exe
HKLM-Explorer_Run-Logman - c:\windows\System\logman.exe
HKLM-Explorer_Run-IEudinit - c:\docume~1\Patrick\LOCALS~1\APPLIC~1\ieudinit.exe
HKLM-Explorer_Run-SessMgr - c:\windows\System32\drivers\sessmgr.exe
HKLM-Explorer_Run-DllHst - c:\windows\System\dllhst3g.exe
HKLM-Explorer_Run-ComRepl - c:\windows\comrepl.exe
HKU-Default-Explorer_Run-IEudinit - c:\docume~1\Patrick\LOCALS~1\APPLIC~1\ieudinit.exe
HKU-Default-Explorer_Run-DllHst - c:\windows\System\dllhst3g.exe
HKU-Default-Explorer_Run-Cisvc - c:\windows\System32\drivers\cisvc.exe
HKU-Default-Explorer_Run-Mstsc - c:\docume~1\Patrick\LOCALS~1\APPLIC~1\mstsc.exe
HKU-Default-Explorer_Run-Esent Utl - c:\windows\System\esentutl.exe
HKU-Default-Explorer_Run-ComRepl - c:\docume~1\Patrick\LOCALS~1\APPLIC~1\comrepl.exe
HKU-Default-Explorer_Run-CmSTP - c:\windows\System32\drivers\cmstp.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-10 13:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\TEMP\SEP2.tmp 0 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1060284298-1383384898-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50FF77A4-9400-4563-D52A-37933719204D}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"bbicicbhminhfppanplfmelhaknjgbkfhoja"=hex:69,61,6f,61,64,63,6d,70,6e,6f,6b,63,
63,6e,63,70,6b,68,00,00
"abkbnlmkkmiacmehdamafpdnmiigpmonbn"=hex:6a,61,66,62,6d,62,6e,70,6f,68,6a,69,
6d,6c,6a,6a,6e,6c,65,6e,00,f8
"abmlhkooaeoijnhohcedlemmpimfdakmih"=hex:61,61,00,00
"mallelmkapfakefiehbkjgkebn"=hex:61,61,00,00
"iaicicbhminhfppanp"=hex:61,61,00,00
"hakbnlmkkmiacmeh"=hex:61,61,00,00
"iamlhlhiajneleblkp"=hex:61,61,00,00

[HKEY_USERS\S-1-5-21-1060284298-1383384898-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6919D60F-1787-EC51-C3CD-4C17BB02EE91}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"bbojojfmjlobbefkdfopikoclglfboekobff"=hex:69,61,64,70,61,6b,62,6f,61,6c,62,6e,
70,62,6c,6c,6e,6b,00,00
"abikafpakcacgmenbnhcpifckdnejihboi"=hex:69,61,64,70,61,6b,62,6f,61,6c,62,6e,
70,62,6c,6c,6e,6b,00,00

[HKEY_USERS\S-1-5-21-1060284298-1383384898-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9964E2BF-8C7D-8269-840F-D4841903DA71}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"bblngaoboknidjogkpohfcfcdhjhpdodgmpf"=hex:69,61,6f,6a,63,6f,64,67,63,6c,6a,61,
62,70,6d,70,62,69,00,00
"abnmmlomnmjlkpblnbnlbdnhmplhcepock"=hex:69,61,6f,6a,63,6f,64,67,63,6c,6a,61,
62,70,6d,70,62,69,00,00
"ialngaoboknidjogkp"=hex:61,61,00,00
"hanmmlomnmjlkpbl"=hex:61,61,00,00
"iahloilokidgkaohcb"=hex:61,61,00,00

[HKEY_USERS\S-1-5-21-1060284298-1383384898-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2581B7E-1A2E-A4AB-FEC4-6021B7FC897F}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"bbicofbkchfaobkapdkobdbebkmdjnboilla"=hex:69,61,6b,6a,68,6a,6d,66,6d,65,65,70,
68,6f,67,6a,64,6e,00,00
"abocigafocibmjlmbnbkhlfkeidhhmfejh"=hex:6a,61,6a,6a,67,68,6a,63,64,6c,6f,6d,
6b,62,6f,63,69,6a,64,61,00,00
"iaicofbkchfaobkapd"=hex:61,61,00,01
"haocigafocibmjlm"=hex:61,61,00,01
"iaedofilleohmdhgfb"=hex:61,61,00,01
"abedoiaopmbnfhpgdnicdjhnoimcpnclpm"=hex:61,61,00,00
"madddfoijjopnaojlcgdmgkjkf"=hex:61,61,00,00
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(836)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2764)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\ZoneLabs\avsys\ScanningProcess.exe
c:\windows\system32\ZoneLabs\avsys\ScanningProcess.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\tcpsvcs.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Heure de fin: 2009-10-10 13:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-10 11:38

Avant-CF: 119 762 669 568 octets libres
Après-CF: 119 383 691 264 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=AlwaysOff

366 --- E O F --- 2009-09-09 21:29

ET LE DEUXIEME HIJACK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:42:39, on 10/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\HDD Health\hddhealth.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [HDDHealth] C:\Program Files\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E3F1348-4370-4BBE-A67A-CC7ED824CA85} (Microsoft Genuine Advantage Self Support Tool) - http://go.microsoft.com/fwlink/?LinkId=82580
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housec(...)
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - SOFTWIN S.R.L. - (no file)
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - (no file)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8011 bytes

répondre

naheulbeuk le 10 octobre 2009 à 17h56

re, combofix a bien bossé

Télécharge Malwarebytes' Anti-Malware (MBAM)

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen complet"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
* Ferme tes navigateurs.
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

@++

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 10 octobre 2009 à 18h15

naheulbeuk a écrit :

re, combofix a bien bossé

télécharge malwarebytes' anti-malware (mbam)

branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

* double clique sur le fichier téléchargé pour lancer le processus d'installation.
* dans l'onglet "mise à jour", clique sur le bouton "recherche de mise à jour": si le pare-feu demande l'autorisation à mbam de se connecter, accepte.
* une fois la mise à jour terminée, rends-toi dans l'onglet "recherche".
* sélectionne "exécuter un examen complet"
* clique sur "rechercher"
* l'analyse démarre, le scan est relativement long, c'est normal.
* a la fin de l'analyse, un message s'affiche :

clique sur "ok" pour poursuivre. si mbam n'a rien trouvé, il te le dira aussi.
* ferme tes navigateurs.
* si des malwares ont été détectés, clique sur afficher les résultats.
sélectionne tout (ou laisse coché) et clique sur supprimer la sélection, mbam va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* mbam va ouvrir le bloc-notes et y copier le rapport d'analyse. copie-colle ce rapport et poste-le dans ta prochaine réponse.

@++

OK ça roule
MBAm est en train de tourner, je te transmets le résultat dès qu'il aura terminé

A tout à l'heure
Patrick

répondre

PZ275 le 10 octobre 2009 à 18h52

pz275 a écrit :

ok ça roule
mbam est en train de tourner, je te transmets le résultat dès qu'il aura terminé

a tout à l'heure
patrick

Malwarebytes a détecté 1 élément infecté mais s'est bloqué au bout de 21mn alors que le scan n'est visiblement pas terminé... apparemment c'est ce qu'il y a dans la corbeille qui le bloque !! je vide la corbeille et je le relance
A bientôt

répondre

PZ275 le 10 octobre 2009 à 20h34

pz275 a écrit :

malwarebytes a détecté 1 élément infecté mais s'est bloqué au bout de 21mn alors que le scan n'est visiblement pas terminé... apparemment c'est ce qu'il y a dans la corbeille qui le bloque !! je vide la corbeille et je le relance
a bientôt

naheulbeuk
ya rien à faire malwarebytes bloque toujours au même endroit c\recycler\s-1-5-21-1060284298-13833...........-1004\info2

j'arrête la manip pour ce soir et je recommencerai demain néanmoins j'ai réussi à identifier le malware qu'il a trouvé avant son blocage : c'est un truc qui se nomme Malware.Packer.mew ... tu connais ça ??

Bonne soirée à demain et vive les bleus !!

répondre

naheulbeuk le 10 octobre 2009 à 22h54

bon alors fais ca :

Télécharge et installe CCleaner
Guide d'utilisation de CCleaner : http://www.site-naheulbeuk.com/ccleaner.php

Note : Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

et ensuite essaye de relancer malwarebytes !

@demain bonne soirée :hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 11 octobre 2009 à 11h16

naheulbeuk a écrit :

bon alors fais ca :

télécharge et installe ccleaner
guide d'utilisation de ccleaner : http://www.site-naheulbeuk.com/ccleaner.php

note : lors de l'installation, sur l'écran "options d'installation", décocher la case située devant "ajouter la barre d'outils yahoo! ccleaner"

lance ccleaner puis bouton analyse ensuite bouton lancer le nettoyage

et ensuite essaye de relancer malwarebytes !

@demain bonne soirée :hello:

Bonjour naheulbeuk

Bon y a rien à faire, même après un coup de ccleaner et après 3 tentatives il se bloque toujours au bout d'une vingtaine de minutes mais à priori c'est pas au meme endroit qu'hier
A noter aussi que ce matin le PC a eu du mal à démarrer: il bootait sur une page d'accueil que j'ai jamais vue à entête de " Intel Desktop board" au bout de 2 ou trois relance il a démarré normalement !

A noter encore que je n'ai plus d'alerte de l'antivirus sur mailfinder et backdoor.

Y a-t-il autre chose à faire ?

Patrick

répondre

naheulbeuk le 11 octobre 2009 à 11h29

bonjour, une dernière vérif alors :

Fais un scan BitDefender en ligne (avec Internet Explorer pas avec Firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !

@+ bon dimanche :super:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 11 octobre 2009 à 11h35

naheulbeuk a écrit :

bonjour, une dernière vérif alors :

fais un scan bitdefender en ligne (avec internet explorer pas avec firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !

@+ bon dimanche :super:

naheulbeuk a écrit :

bonjour, une dernière vérif alors :

fais un scan bitdefender en ligne (avec internet explorer pas avec firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !

@+ bon dimanche :super:

je démarre ça de suite
A tout à l'heure

répondre

PZ275 le 11 octobre 2009 à 17h09

pz275 a écrit :

je démarre ça de suite
a tout à l'heure

naheulbeuk
voila le rapport de bit defender (ça trainé un peu .... j'ai été pris par d'autres occupations .... familiales)

Bon apparemment tout baigne... à ton avis ?

A +
Patrick

BitDefender Online Scanner - Rapport virus en temps réel

Généré à: Sun, Oct 11, 2009 - 16:53:42

Info d'analyse

Fichiers scannés

110110

Infectés Fichiers

0

Virus Détectés

Aucun virus trouvé.

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

répondre

PZ275 le 11 octobre 2009 à 19h36

pz275 a écrit :

naheulbeuk
voila le rapport de bit defender (ça trainé un peu .... j'ai été pris par d'autres occupations .... familiales)

bon apparemment tout baigne... à ton avis ?

a +
patrick

bitdefender online scanner - rapport virus en temps réel

généré à: sun, oct 11, 2009 - 16:53:42

info d'analyse

fichiers scannés

110110

infectés fichiers

0

virus détectés

aucun virus trouvé.

ce sommaire du processus d'analyse sera utilisé par les laboratoires antivirus bitdefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

naheulbeuk

j'ai relancé malwarebyte en scan approfondi mais il coince toujours
par contre j'ai lancé un scan rapide et là il est passé voilà le rapport, il y a toujours des merdes malgré ce que dit bitdefender

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2943
Windows 5.1.2600 Service Pack 3

11/10/2009 19:30:09
mbam-log-2009-10-11 (19-29-28).txt

Type de recherche: Examen rapide
Eléments examinés: 96669
Temps écoulé: 5 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\Patrick\Application Data\RegistrySmart (Rogue.RegistrySmart) -> No action taken.
C:\Documents and Settings\Patrick\Application Data\RegistrySmart\Log (Rogue.RegistrySmart) -> No action taken.
C:\Documents and Settings\Patrick\Application Data\RegistrySmart\Registry Backups (Rogue.RegistrySmart) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\Patrick\Application Data\RegistrySmart\Errors.stg (Rogue.RegistrySmart) -> No action taken.
C:\Documents and Settings\Patrick\Application Data\RegistrySmart\Results.stg (Rogue.RegistrySmart) -> No action taken.
C:\Documents and Settings\Patrick\Application Data\RegistrySmart\Registry Backups\2007-03-02_23-32-34.reg (Rogue.RegistrySmart) -> No action taken.
C:\Documents and Settings\Patrick\Local Settings\Application Data\Microsoft\spoolsv.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system\mstsc.exe (Trojan.Agent) -> No action taken.

Quek t'en pense ?

répondre

naheulbeuk le 11 octobre 2009 à 19h39

nettoie tout ce qu'a détecté malwarebytes

dis moi quand c'est fait

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 11 octobre 2009 à 19h48

naheulbeuk a écrit :

nettoie tout ce qu'a détecté malwarebytes

dis moi quand c'est fait

c'est fait, il m'a redémarré la machine sans probleme, je réssaye un scan profond pour voir ??

répondre

naheulbeuk le 12 octobre 2009 à 00h00

ouais réessaye

bonne soirée :hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 12 octobre 2009 à 10h37

naheulbeuk a écrit :

ouais réessaye

bonne soirée :hello:

Bonjour chef !

j'ai réréréréessayé le scan complet hier soir : toujours pareil il se bloque à c:\recycler..........\info2 ce qui est c'est curieux c'est que j'ai pas trouvé de dossier c:\recycler....via le système de recherche.

La nuit portant conseil, ce matin j'ai relancé le scan complet en mode sans échec et ...miracle il est passé (rapport ci dessous)

J'en ai profité pour aller voir ton site...chapeau bas !! ça fait plaisir de voir qu'il y a encore des jeunes passionnés qui en veulent ( je suis un papy de 56 ans et à l'époque de mes études le µP. n'était que de la science fiction) En tout cas je te souhaite tous mes voeux pour la suite de ta carrière.

Bon voilà le rapport de scan complet, il a encore trouvé 4 bestioles dans des fichiers (j'ai évidemment éliminé tout ce qu'il a trouvé)

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2943
Windows 5.1.2600 Service Pack 3 (Safe Mode)

12/10/2009 09:39:40
mbam-log-2009-10-12 (09-39-12).txt

Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 218828
Temps écoulé: 1 hour(s), 17 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Patrick\Mes documents\pilotes, utilitaires, logiciels etc\LOGICIELS\anti virus et anti spywares\suppression de W32 Bagle\AntiBagle-FO-en.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{9870AD7D-8991-40E1-B12C-74247F09DD92}\RP26\A0011600.exe (Malware.Packer.Mew) -> No action taken.
G:\pilotes, utilitaires, logiciels etc\Pilotes et utilitaires\registry mechanic (optimisation du registre)\Nouveau dossier\Patch.exe (Malware.Packer.Mew) -> No action taken.
G:\System Volume Information\_restore{9870AD7D-8991-40E1-B12C-74247F09DD92}\RP26\A0011695.exe (Trojan.Agent) -> No action taken.

Fait-on quelque chose de plus ??

A+

répondre

naheulbeuk le 12 octobre 2009 à 14h01

bah non c'est bon le pc est clean :super:

merci pr les encouragements, je trouve ca cool aussi d'avoir des gens de votre génération qui s'intéressent à la technologie, chapeau bas :jap:

Edite ton premier post et mets [resolu] devant le titre de ton sujet.

Voici quelques liens pour des conseils en sécurité :

Mon site Web sur la sécurité informatique !
Comment protéger son PC pour éviter d'être infecté ?

Prends le temps de les lire car elles sont très enréchissantes.

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapporte ton infection :

- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

au plaisir et bonne continuation :hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

répondre

PZ275 le 12 octobre 2009 à 15h54

naheulbeuk a écrit :

bah non c'est bon le pc est clean :super:

merci pr les encouragements, je trouve ca cool aussi d'avoir des gens de votre génération qui s'intéressent à la technologie, chapeau bas :jap:

edite ton premier post et mets [resolu] devant le titre de ton sujet.

voici quelques liens pour des conseils en sécurité :

mon site web sur la sécurité informatique !
comment protéger son pc pour éviter d'être infecté ?

http://www.site-naheulbeuk.com/img/reagir_miniban.gif

prends le temps de les lire car elles sont très enréchissantes.

rapporte ton infection pour faire condamner les auteurs sur malware-complaints. pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapporte ton infection :

- voir les règles de malware-complaints
- enregistre sur le forum à partir du bouton register en haut :
si tu as plus de 13 ans, choisir : i agree to these terms and am over or exactly 13 years of age
si tu as moins, clic sur : i agree to these terms and am under 13 years of age

après t'être enregistré, tu as sous forme de liste les types d'infection (look2me, smitfraud, spywarequake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)

si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

au plaisir et bonne continuation :hello:

Bon vent à toi mon grand !!
ET surtout merci encore ....longue vie à ce forum que j'ai trouvé très instructif et ...agréable !! j'espère ne pas devoir y revenir mais néanmoins si je me trouve un de ces jours encore dans la mouise je sais que je pourrai compter sur vous tous!!

Patrick

-->Message édité par PZ275 le 12/10/2009 16:06:24<--

répondre

PRODUITS

TÉLÉCHARGER - LOGICIELS

JEUX VIDÉOS

jeux PC |
Xbox |
Playstation |
Wii |
PSP |
DS |
Action |
Aventure |
MMORPG |
Sports |
Simulation |
Enfant |
Soluces et astuces

LOISIRS

Actu |
Ciné-TV |
Musique |
Etudes |
Divers |
Sports

01NET PRO

AVIS ET COMMENTAIRES

A PROPOS DE 01NET

Forum de 01net / Sécurité / [Résolu] mailfinder + Backdoor win 32

		> Jeu : Burger Shop 2 Votre but : reconstruire votre empire et attirer des nouveaux clients !