|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour, depuis deux semaines mon PC est excessivement lent. J'ai tout essayé... biddefender n'a rien trouvé, j'ai lancé ad-aware et spybot... toujours aussi lent... j'ai scanné mon HDD sur un autre pc avec Norton ... Ah, un virus trouvé (Keygen.exe) ... mais toujours aussi lent. En désespoir de cause, je me tourne vers vous. En regardant dans les autres post, j'ai vu que quasi tous démarre par hijack etc... voici donc le file log... et merci d'ores et déjà à tous celles et tout ceux qui voudront bien m'aider..
EDITION MODERATEUR : Règle du forum à respecter :
Pas de rapport avant qu'il n'en soit demandé un ! 
Veuillez lire l'article suivant :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)
Merci d'en prendre connaissance.
-->Message édité par YAKARI95 le 28/05/2008 20:25:31<--
|
|
|
|
|
Salut,
~ Télécharge ComboFix sur ton Bureau. Editeur : sUBs ~
~ Désactive tes protection résidentes ( Antivirus, Spybot TeaTimer ... ) ~
Lis ce Tutorial, qui peut t'aider à désactiver les protections résidentes, de tes Antivirus et assimilés.
~ Double clique sur "ComboFix.exe" présent sur ton Bureau afin de le lancer ~
~ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport ("C:\combofix.txt") dans ta prochaine réponse. ~
Si tu rencontres des problèmes sur l'utilisation de ComboFix, consulte le guide d'utilisation de ComboFix.
|
|
|
|
|
|
Merci beaucoup... je fais cela et je te dis quoi.
|
|
|
|
|
|
Merci beaucoup... je fais cela et je te dis quoi.
|
|
|
|
|
Hello, voici le fichier :
Je ne sais pas si c'est normal, mais j'ai l'impression que le pc est déjà plus rapide.
Merci pour ton aide.
Patrick.
ComboFix 08-05-21.3 - PATRICK 2008-05-23 23:41:25.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.763 [GMT 2:00]
Running from: C:\Documents and Settings\PATRICK\Desktop\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\PATRICK\Desktop\Privacy Protector.url
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox\InternetGameBox.lnk
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox\Uninstall.lnk
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox\Website.lnk
C:\Program Files\Google\googletoolbar1.dll
C:\Program Files\internetgamebox
C:\Program Files\internetgamebox\InternetGameBox.exe
C:\Program Files\internetgamebox\InternetGameBox.url
C:\Program Files\internetgamebox\language
C:\Program Files\internetgamebox\ressources\AttenteOff.html
C:\Program Files\internetgamebox\ressources\AttenteOn.html
C:\Program Files\internetgamebox\ressources\configv2_en.xml
C:\Program Files\internetgamebox\ressources\configv2_es.xml
C:\Program Files\internetgamebox\ressources\configv2_fr.xml
C:\Program Files\internetgamebox\ressources\favoris\defaultv2.swf
C:\Program Files\internetgamebox\skins\skinv2.skn
C:\Program Files\internetgamebox\uninst.exe
C:\WINDOWS\fvowketqsoq.dll
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\kmoponmp.ini
C:\WINDOWS\system32\kmoponmp.ini2
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\pmnopomk.dll
C:\WINDOWS\system32\vafxpclqd.dat
C:\WINDOWS\system32\vafxpclqd.exe
C:\WINDOWS\system32\vafxpclqd_nav.dat
C:\WINDOWS\system32\vafxpclqd_navps.dat
----- BITS: Possible infected sites -----
hxxp://www.hhdsoftware.com
.
((((((((((((((((((((((((( Files Created from 2008-04-23 to 2008-05-23 )))))))))))))))))))))))))))))))
.
2008-05-17 14:18 . 2008-05-17 14:18 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-05-17 13:29 . 2008-05-17 13:29 135 --a------ C:\WINDOWS\wininit.ini
2008-05-16 16:13 . 2008-05-16 16:13 <DIR> d-------- C:\WINDOWS\5888428E699C4E71BF7194EE06B497DA.TMP
2008-05-15 22:39 . 2008-05-16 16:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-12 08:34 . 2008-05-16 15:54 <DIR> d-------- C:\Documents and Settings\PATRICK\Application Data\TmpRecentIcons
2008-05-11 21:57 . 2008-05-10 02:14 94,208 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-11 21:57 . 2008-05-11 21:57 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-05-11 21:56 . 2008-05-12 08:34 160,256 --a------ C:\WINDOWS\system32\blackster.scr
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 21:42 --------- d-----w C:\Program Files\Google
2008-05-16 13:57 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-15 20:40 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-05-15 19:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-18 19:43 --------- d-----w C:\Program Files\BDGest
2008-04-03 21:23 --------- d-----w C:\Program Files\MediaCoder
2008-04-03 19:51 --------- d-----w C:\Documents and Settings\PATRICK\Application Data\dvdcss
2008-04-03 19:44 --------- d-----w C:\Program Files\Core Design
2008-04-01 19:55 5,120 --sha-w C:\Program Files\Thumbs.db
2008-04-01 16:04 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-01 16:04 --------- d-----w C:\Program Files\Ubi Soft
2006-01-07 13:51 41,064 ----a-w C:\Documents and Settings\PATRICK\Application Data\GDIPFONTCACHEV1.DAT
2005-11-08 19:51 117 ----a-w C:\Program Files\zvpmkwyh2.jpg.url
2004-03-11 12:27 40,960 -c--a-w C:\Program Files\Uninstall_CDS.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{88EBBE0B-5FF8-4B84-B043-71A216374A5B}]
C:\WINDOWS\system32\byXNeDSM.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF47FCFB-AA32-4ECC-9F32-C99E30385AF3}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F196C094-97CF-4408-AF4F-0E81D2079F20}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C17C95A8-9A32-4250-8F46-D7DFBB4B4947}"= "C:\WINDOWS\pvnsmfor.dll" [ ]
[HKEY_CLASSES_ROOT\clsid\{c17c95a8-9a32-4250-8f46-d7dfbb4b4947}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{85116C11-B265-4635-8FD8-A500007A6915}]
[HKEY_CLASSES_ROOT\pvnsmfor]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 22:45 1211176]
"ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 04:40 218032]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ddhelper"="C:\WINDOWS\W815DM.EXE" [2005-08-18 08:27 76800]
"AutoConnect"="C:\Documents and Settings\PATRICK\Local Settings\Temp\{19E1E0C2-C226-4B5E-8A33-663EB6B4B4E9}\{80CD64AA-7406-4508-BFDF-2DFE7F1F8EF0}\AutoConnect.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-28 17:34 360448]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"sdaemon"="C:\WINDOWS\SDAEMON.EXE" [2005-08-18 08:27 174592]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:56 15360]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
DataViz Messenger.lnk - C:\WINDOWS\DvzCommon\DvzMsgr.exe [2005-07-14 20:40:26 24576]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"0"= Iexplore.exe
"1"= netscape.exe
"2"= icq.exe
"3"= msnmsgr.exe
"4"= Kazaa.exe
"5"= Edonkey2000.exe
"6"= msimn.exe
"7"= icq2000.exe
"8"= real.exe
"9"= wmplayer.exe
"10"= aim.exe
"11"= emule.exe
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{88EBBE0B-5FF8-4B84-B043-71A216374A5B}"= C:\WINDOWS\system32\byXNeDSM.dll [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"mpfanvqg"= {9A17C473-ADC0-42A0-868C-6279075C4CEA} - C:\WINDOWS\mpfanvqg.dll [ ]
"vbksrofa"= {ECC6781A-6A18-4218-AB1F-28B7AB10DD6D} - C:\WINDOWS\vbksrofa.dll [ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNeDSM]
byXNeDSM.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.JPGL"= jpgl.dll
"MSACM.CEGSM"= mobilev.acm
"VIDC.X264"= x264vfw.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Gaming Zone\\zclient.exe"=
"C:\\Program Files\\CompeGPS\\CompeGPSAIR.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE"=
"D:\\download\\nexuiz-21\\Nexuiz\\nexuiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpctr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 11:52]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-02-15 17:31]
R3 hhdusbh;USB Monitor Filter Driver;C:\WINDOWS\system32\drivers\hhdusbh.sys [2007-10-02 12:28]
S3 DCamUSBNW812;NW812 USB PC Camera;C:\WINDOWS\system32\DRIVERS\pcam812.sys [2003-08-13 12:25]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-28 09:59]
S3 GTUQBUS;GT UQ BUS;C:\WINDOWS\system32\DRIVERS\gtuqbus.sys [2007-03-28 09:59]
S3 Lower812;812 audio lower filter;C:\WINDOWS\system32\drivers\lower812.sys [2003-02-07 08:39]
S3 SE30bus;Sony Ericsson Device 048 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE30bus.sys [2006-11-10 09:48]
S3 SE30mdfl;Sony Ericsson Device 048 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE30mdfl.sys [2006-11-10 09:48]
S3 SE30mdm;Sony Ericsson Device 048 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE30mdm.sys [2006-11-10 09:48]
S3 SE30mgmt;Sony Ericsson Device 048 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE30mgmt.sys [2006-11-10 09:48]
S3 se30nd5;Sony Ericsson Device 048 USB Ethernet Emulation SEMC48 (NDIS);C:\WINDOWS\system32\DRIVERS\se30nd5.sys [2006-11-10 09:48]
S3 SE30obex;Sony Ericsson Device 048 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE30obex.sys [2006-11-10 09:48]
S3 se30unic;Sony Ericsson Device 048 USB Ethernet Emulation SEMC48 (WDM);C:\WINDOWS\system32\DRIVERS\se30unic.sys [2006-11-10 09:48]
S3 z530bus;Sony Ericsson Z530 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\z530bus.sys [2005-10-07 15:11]
S3 z530mdfl;Sony Ericsson Z530 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\z530mdfl.sys [2005-10-07 15:12]
S3 z530mdm;Sony Ericsson Z530 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\z530mdm.sys [2005-10-07 15:12]
S3 z530mgmt;Sony Ericsson Z530 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\z530mgmt.sys [2005-10-07 15:13]
S3 Z550bus;Sony Ericsson Z550 driver (WDM);C:\WINDOWS\system32\DRIVERS\Z550bus.sys [2006-03-13 17:37]
S3 Z550mdfl;Sony Ericsson Z550 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\Z550mdfl.sys [2006-03-13 17:37]
S3 Z550mdm;Sony Ericsson Z550 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\Z550mdm.sys [2006-03-13 17:37]
S3 Z550mgmt;Sony Ericsson Z550 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\Z550mgmt.sys [2006-03-13 17:37]
S3 Z550obex;Sony Ericsson Z550 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\Z550obex.sys [2006-03-13 17:37]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18bc8e78-47f4-11dc-ae5a-00023f0d996e}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe
.
Contents of the 'Scheduled Tasks' folder
"2008-05-10 19:47:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-23 22:01:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-23 23:54:57
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\mchInjDrv]
"ImagePath"="\??\C:\WINDOWS\TEMP\mc21.tmp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\enph.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\enph.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\enph.dll
PROCESS: C:\WINDOWS\system32\csrss.exe
-> C:\WINDOWS\system32\enph.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\CVSEXPSS.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\wltrysvc.exe
C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Completion time: 2008-05-24 0:05:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-23 22:05:42
Pre-Run: 454,447,104 bytes free
Post-Run: 3,464,228,864 bytes free
239
|
|
|
|
|
Salut,
~ Télécharge Navilog1 sur ton Bureau. Editeur : IL-MAFIOSO ~
N.B : Si, lors du téléchargement, tu obtiens une alerte de ton ~ Antivirus, ignore-là, Navilog1 est détecté par certains AntiVirus comme étant un Malware ( Antivir ... ). Mais ce n'en est nullement un !
~ Lance l'installation en double cliquant sur "Navilog.exe" présent sur ton Bureau. ( Clique-droit, "Exécuter en tant qu'administrateur..." sous Vista ) ~
~ Une fois l'installation terminée, l'utilitaire s'executera automatiquement ~
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)
~ Laisse-guider par l'utilitaire. Choisi l'option 1 puis valide. ~
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
~ Patiente jusqu'a l'apparition de ce message: ~
"***Analyse terminée le .....***"
~ Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvir. ~
~ Poste-nous son contenu de cette manière : ~
Edition / Sélectionner tout
Edition / Copier
Clique-droit / Coller dans ta réponse
N.B : Le rapport se trouve également ici : C:\fixnavi.txt
En cas de problème, consulte l'aide d'utilisation de Navilog1 en images.
Si tu as Vista, fais ceci avant :
Désactive l'UAC ( Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le )
Si tu as Spybot, ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
Ne tiens pas compte de l'avertissement.
En bas à gauche , clique sur Outils
Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
Et décoche l'option Resident "TeaTimer"
|
|
|
|
|
Voici voilà ...
Search Navipromo version 3.5.7 commencé le 2008-05-24 à 16:13:55.54
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "PATRICK"
Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\startm~1\programs" ***
*** Recherche dossiers dans "C:\Documents and Settings\PATRICK\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Guest\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\SOLENNE\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\TEMP\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\TEMP~1.ACE\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\TEMPAC~1.000\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\PATRICK\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\Guest\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\SOLENNE\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\TEMP\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\TEMP~1.ACE\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\TEMPAC~1.000\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\PATRICK\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\Guest\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\SOLENNE\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\TEMP~1.ACE\startm~1\programs" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
Fichiers suspects :
SUUNTOUN.exe trouvé !
WatchPower.exe trouvé !
* Recherche dans "C:\Documents and Settings\PATRICK\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\Guest\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\SOLENNE\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\TEMP~1.ACE\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\TEMPAC~1.000\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\PATRICK\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\Guest\locals~1\applic~1" :
* Dans "C:\DOCUME~1\SOLENNE\locals~1\applic~1" :
* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" :
* Dans "C:\DOCUME~1\TEMP~1.ACE\locals~1\applic~1" :
* Dans "C:\DOCUME~1\TEMPAC~1.000\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 2008-05-24 à 16:25:06.95 ***
|
|
|
|
|
Salut,
Double clique sur le raccourci de Navilog1, présent sur le bureau.
Choisis l'option 2, puis valide.
Laisse toi guider.
Ton bureau va disparaître.
Patiente jusqu'à l'apparition de ce message :
"***Nettoyage Termine le ...***"
Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
NOTE :Si ton bureau ne réapparait pas, fais "Ctr+Alt+Suppr" pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur "fichier" et choisis "exécuter"
Tapes "explorer" et valides. Cela te fera apparaitre ton bureau .
Cliquez sur menu "Démarrer" puis "Panneau de configuration"
Double-clicquez sur "Options Internet"
Cliquez sur l'onglet "Contenu" puis sur "Certificats", dans la colonne "Editeurs approuvés", supprimez si présent :
electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd
OOO-Favorit
|
|
|
|
|
Voilà le rapport de désinfection.
Au niveau des cerificats, je n'ai que Microsoft windows
Clean Navipromo version 3.5.7 commencé le 2008-05-24 à 17:53:25.40
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "PATRICK"
Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage exécuté au redémarrage de l'ordinateur
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINDOWS\System32" *
* Suppression dans "C:\Documents and Settings\PATRICK\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\Guest\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\SOLENNE\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\TEMP~1.ACE\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\TEMPAC~1.000\locals~1\applic~1" *
*** Suppression dossiers dans "C:\WINDOWS" ***
*** Suppression dossiers dans "C:\Program Files" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1\startm~1\programs" ***
*** Suppression dossiers dans "C:\Documents and Settings\PATRICK\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\Guest\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\SOLENNE\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\TEMP\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\TEMP~1.ACE\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\TEMPAC~1.000\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\PATRICK\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\Guest\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\SOLENNE\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\TEMP\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\TEMP~1.ACE\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\TEMPAC~1.000\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\PATRICK\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\Guest\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\SOLENNE\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\TEMP~1.ACE\startm~1\programs" ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\PATRICK\locals~1\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "C:\WINDOWS\system32" *
* Dans "C:\Documents and Settings\PATRICK\locals~1\applic~1" *
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Dans "C:\DOCUME~1\Guest\locals~1\applic~1" *
* Dans "C:\DOCUME~1\SOLENNE\locals~1\applic~1" *
* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *
* Dans "C:\DOCUME~1\TEMP~1.ACE\locals~1\applic~1" *
* Dans "C:\DOCUME~1\TEMPAC~1.000\locals~1\applic~1" *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup absent !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !
*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!
Fichiers suspects dans "C:\WINDOWS\system32" :
SUUNTOUN.exe trouvé !
WatchPower.exe trouvé !
*** Nettoyage terminé le 2008-05-24 à 18:03:29.85 ***
|
|
|
|
|
Re,
~ Télécharge Malware Byte's Anti-Malware. Editeur : Malware Byte's ~
~ Double cliques sur le fichier d'installation ( Download_mbam-setup.exe ) présent sur le Bureau. ~
~ Une fois l'installation terminée et les mises à jour éffectuées, redémarre ton ordinateur en mode sans échec. ~
Si tu ne sais pas comment faire, consulte : Comment démarrer en mode sans échec ?
~ Une fois en mode sans échec, éxécute MalwareByte's Anti-Malware, puis lance un Examen complet, à l'aide du bouton Rechercher. ~
~ Lorsque l'examen sera terminé, une fenêtre s'ouvrira : Clique sur OK. ~
~ Dès lors, deux choix se présente à toi : ~
Si l'Anti-Malware n'a rien détecté, appuie sur OK. Un rapport apparait ensuite, ferme-le.
Si l'Anti-Malware à détecté des infections, appuie sur Afficher les résultats, puis Supprimer la sélection. Enregistre alors le rapport sur ton Bureau, afin de le poster dans ta prochaine réponse.
N.B : Un redémarrage de l'ordinateur peut être demandé pour supprimer les infections.
Si tu rencontre des problèmes sur l'utilisation de Malware Byte's Anti-Malware, consulte : Le Tutorial en images de Malware Byte's Anti-Malware.
|
|
|
|
|
Hé beh il y avait encore des trucs... c'est plus un disque dur, c'est un bouillon de culture !!!
voici le rapport :
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 783
Type de recherche: Examen rapide
Eléments examinés: 46524
Temps écoulé: 9 minute(s), 45 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{88ebbe0b-5ff8-4b84-b043-71a216374a5b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{88ebbe0b-5ff8-4b84-b043-71a216374a5b} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{95e554e1-04f3-4d9b-a4e9-881dc420882b} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{85116c11-b265-4635-8fd8-a500007a6915} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{5269d0c0-572b-445a-88ac-8c8843b6d42b} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{69c1ef64-a396-4490-8849-52af7f7ec6e5} (Trojan.Fakealert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{f5f40e25-cf4d-434e-a6ae-ed625ae87cab} (Trojan.Fakealert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.btqr (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{88ebbe0b-5ff8-4b84-b043-71a216374a5b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\mpfanvqg (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vbksrofa (Trojan.FakeAlert) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> No action taken.
C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> No action taken.
|
|
|
|
|
Sorry... je viens de voir qu'il fallait lancer un examen COMPLET ... je le relance et j'envoie le rapport (tantôt)...
A+ et encore merci de t'occuper de mon cas ;o)
|
|
|
|
|
Voilà le log de l'examen complet... il en a encore trouvé 3...
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 783
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 127871
Temps écoulé: 1 hour(s), 25 minute(s), 59 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{9195FAA2-DC67-48AB-8B50-C25E745DAA2F}\RP463\A0463981.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9195FAA2-DC67-48AB-8B50-C25E745DAA2F}\RP463\A0464981.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9195FAA2-DC67-48AB-8B50-C25E745DAA2F}\RP463\A0465982.scr (Trojan.Agent) -> Quarantined and deleted successfully.
|
|
|
|
|
Repasse ComboFix s'il te plait.
|
|
|
|
|
Et un log combofix pour la quatre un :
ComboFix 08-05-21.3 - PATRICK 2008-05-25 15:07:50.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.769 [GMT 2:00]
Running from: C:\Documents and Settings\PATRICK\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\PATRICK\Desktop\Privacy Protector.url
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox\InternetGameBox.lnk
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox\Uninstall.lnk
C:\Documents and Settings\PATRICK\Start Menu\Programs\InternetGameBox\Website.lnk
C:\Program Files\Google\googletoolbar1.dll
C:\Program Files\internetgamebox
C:\Program Files\internetgamebox\InternetGameBox.exe
C:\Program Files\internetgamebox\InternetGameBox.url
C:\Program Files\internetgamebox\language
C:\Program Files\internetgamebox\ressources\AttenteOff.html
C:\Program Files\internetgamebox\ressources\AttenteOn.html
C:\Program Files\internetgamebox\ressources\configv2_en.xml
C:\Program Files\internetgamebox\ressources\configv2_es.xml
C:\Program Files\internetgamebox\ressources\configv2_fr.xml
C:\Program Files\internetgamebox\ressources\favoris\defaultv2.swf
C:\Program Files\internetgamebox\skins\skinv2.skn
C:\Program Files\internetgamebox\uninst.exe
C:\WINDOWS\fvowketqsoq.dll
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\kmoponmp.ini
C:\WINDOWS\system32\kmoponmp.ini2
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\pmnopomk.dll
C:\WINDOWS\system32\vafxpclqd.dat
C:\WINDOWS\system32\vafxpclqd.exe
C:\WINDOWS\system32\vafxpclqd_nav.dat
C:\WINDOWS\system32\vafxpclqd_navps.dat
.
((((((((((((((((((((((((( Files Created from 2008-04-25 to 2008-05-25 )))))))))))))))))))))))))))))))
.
2008-05-24 19:48 . 2008-05-24 19:48 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-24 19:48 . 2008-05-24 19:48 <DIR> d-------- C:\Documents and Settings\PATRICK\Application Data\Malwarebytes
2008-05-24 19:48 . 2008-05-24 19:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-24 19:48 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-24 19:48 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-24 16:12 . 2008-05-24 18:03 <DIR> d-------- C:\Program Files\Navilog1
2008-05-17 14:18 . 2008-05-17 14:18 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-05-17 13:29 . 2008-05-17 13:29 135 --a------ C:\WINDOWS\wininit.ini
2008-05-16 16:13 . 2008-05-16 16:13 <DIR> d-------- C:\WINDOWS\5888428E699C4E71BF7194EE06B497DA.TMP
2008-05-15 22:39 . 2008-05-16 16:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-12 08:34 . 2008-05-16 15:54 <DIR> d-------- C:\Documents and Settings\PATRICK\Application Data\TmpRecentIcons
2008-05-11 21:57 . 2008-05-11 21:57 1 --a------ C:\WINDOWS\system32\kr_done1de
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 21:42 --------- d-----w C:\Program Files\Google
2008-05-16 13:57 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-15 20:40 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-05-15 19:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-18 19:43 --------- d-----w C:\Program Files\BDGest
2008-04-03 21:23 --------- d-----w C:\Program Files\MediaCoder
2008-04-03 19:51 --------- d-----w C:\Documents and Settings\PATRICK\Application Data\dvdcss
2008-04-03 19:44 --------- d-----w C:\Program Files\Core Design
2008-04-01 19:55 5,120 --sha-w C:\Program Files\Thumbs.db
2008-04-01 16:04 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-01 16:04 --------- d-----w C:\Program Files\Ubi Soft
2006-01-07 13:51 41,064 ----a-w C:\Documents and Settings\PATRICK\Application Data\GDIPFONTCACHEV1.DAT
2005-11-08 19:51 117 ----a-w C:\Program Files\zvpmkwyh2.jpg.url
2004-12-01 16:18 62,865 ----a-w C:\WINDOWS\inf\IM\odysseyIM3.sys
2004-12-01 16:18 45,056 ----a-w C:\WINDOWS\inf\IM\imdinst.exe
2004-12-01 16:18 12,739 ----a-w C:\WINDOWS\inf\IM\odNetInstall.dll
2004-03-11 12:27 40,960 -c--a-w C:\Program Files\Uninstall_CDS.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-24_ 0.05.13.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-23 21:53:44 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-25 12:57:31 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF47FCFB-AA32-4ECC-9F32-C99E30385AF3}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F196C094-97CF-4408-AF4F-0E81D2079F20}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C17C95A8-9A32-4250-8F46-D7DFBB4B4947}"= "C:\WINDOWS\pvnsmfor.dll" [ ]
[HKEY_CLASSES_ROOT\clsid\{c17c95a8-9a32-4250-8f46-d7dfbb4b4947}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{85116C11-B265-4635-8FD8-A500007A6915}]
[HKEY_CLASSES_ROOT\pvnsmfor]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 22:45 1211176]
"ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 04:40 218032]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:56 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ddhelper"="C:\WINDOWS\W815DM.EXE" [2005-08-18 08:27 76800]
"AutoConnect"="C:\Documents and Settings\PATRICK\Local Settings\Temp\{19E1E0C2-C226-4B5E-8A33-663EB6B4B4E9}\{80CD64AA-7406-4508-BFDF-2DFE7F1F8EF0}\AutoConnect.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-28 17:34 360448]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"sdaemon"="C:\WINDOWS\SDAEMON.EXE" [2005-08-18 08:27 174592]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:56 15360]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
DataViz Messenger.lnk - C:\WINDOWS\DvzCommon\DvzMsgr.exe [2005-07-14 20:40:26 24576]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 1 (0x1)
"DisableTaskMgr"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"0"= Iexplore.exe
"1"= netscape.exe
"2"= icq.exe
"3"= msnmsgr.exe
"4"= Kazaa.exe
"5"= Edonkey2000.exe
"6"= msimn.exe
"7"= icq2000.exe
"8"= real.exe
"9"= wmplayer.exe
"10"= aim.exe
"11"= emule.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNeDSM]
byXNeDSM.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.JPGL"= jpgl.dll
"MSACM.CEGSM"= mobilev.acm
"VIDC.X264"= x264vfw.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll,
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Gaming Zone\\zclient.exe"=
"C:\\Program Files\\CompeGPS\\CompeGPSAIR.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE"=
"D:\\download\\nexuiz-21\\Nexuiz\\nexuiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpctr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 11:52]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-02-15 17:31]
R3 hhdusbh;USB Monitor Filter Driver;C:\WINDOWS\system32\drivers\hhdusbh.sys [2007-10-02 12:28]
S3 DCamUSBNW812;NW812 USB PC Camera;C:\WINDOWS\system32\DRIVERS\pcam812.sys [2003-08-13 12:25]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-28 09:59]
S3 GTUQBUS;GT UQ BUS;C:\WINDOWS\system32\DRIVERS\gtuqbus.sys [2007-03-28 09:59]
S3 Lower812;812 audio lower filter;C:\WINDOWS\system32\drivers\lower812.sys [2003-02-07 08:39]
S3 SE30bus;Sony Ericsson Device 048 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE30bus.sys [2006-11-10 09:48]
S3 SE30mdfl;Sony Ericsson Device 048 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE30mdfl.sys [2006-11-10 09:48]
S3 SE30mdm;Sony Ericsson Device 048 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE30mdm.sys [2006-11-10 09:48]
S3 SE30mgmt;Sony Ericsson Device 048 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE30mgmt.sys [2006-11-10 09:48]
S3 se30nd5;Sony Ericsson Device 048 USB Ethernet Emulation SEMC48 (NDIS);C:\WINDOWS\system32\DRIVERS\se30nd5.sys [2006-11-10 09:48]
S3 SE30obex;Sony Ericsson Device 048 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE30obex.sys [2006-11-10 09:48]
S3 se30unic;Sony Ericsson Device 048 USB Ethernet Emulation SEMC48 (WDM);C:\WINDOWS\system32\DRIVERS\se30unic.sys [2006-11-10 09:48]
S3 z530bus;Sony Ericsson Z530 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\z530bus.sys [2005-10-07 15:11]
S3 z530mdfl;Sony Ericsson Z530 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\z530mdfl.sys [2005-10-07 15:12]
S3 z530mdm;Sony Ericsson Z530 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\z530mdm.sys [2005-10-07 15:12]
S3 z530mgmt;Sony Ericsson Z530 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\z530mgmt.sys [2005-10-07 15:13]
S3 Z550bus;Sony Ericsson Z550 driver (WDM);C:\WINDOWS\system32\DRIVERS\Z550bus.sys [2006-03-13 17:37]
S3 Z550mdfl;Sony Ericsson Z550 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\Z550mdfl.sys [2006-03-13 17:37]
S3 Z550mdm;Sony Ericsson Z550 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\Z550mdm.sys [2006-03-13 17:37]
S3 Z550mgmt;Sony Ericsson Z550 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\Z550mgmt.sys [2006-03-13 17:37]
S3 Z550obex;Sony Ericsson Z550 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\Z550obex.sys [2006-03-13 17:37]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18bc8e78-47f4-11dc-ae5a-00023f0d996e}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe
.
Contents of the 'Scheduled Tasks' folder
"2008-05-24 19:47:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-25 13:11:01 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 15:11:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
Completion time: 2008-05-25 15:13:24
ComboFix-quarantined-files.txt 2008-05-25 13:13:05
Pre-Run: 3,270,660,096 bytes free
Post-Run: 3,344,420,864 bytes free
215
|
|
|
|
|
Re,
Réponds à cela s'il te plait : N'aurais-tu pas réinstaller : InternetGameBox ?
Copie le texte se situant dans le cadre ci-dessous:
File::
C:\WINDOWS\pvnsmfor.dll
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C17C95A8-9A32-4250-8F46-D7DFBB4B4947}"=-
[-HKEY_CLASSES_ROOT\clsid\{c17c95a8-9a32-4250-8f46-d7dfbb4b4947}]
[-HKEY_CLASSES_ROOT\pvnsmfor.1]
[-HKEY_CLASSES_ROOT\TypeLib\{85116C11-B265-4635-8FD8-A500007A6915}]
[-HKEY_CLASSES_ROOT\pvnsmfor]
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
|
|
|
|
|
Inerne gamebox, je ne connais pas, mais j'ai deux enfnats de 14 et 17 ans qui installe u tas de trucs sans toujours savoir exactement quoi !!!
Voici les deux log :
ComboFix 08-05-21.3 - PATRICK 2008-05-25 16:07:32.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.746 [GMT 2:00]
Running from: C:\Documents and Settings\PATRICK\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\PATRICK\Desktop\CFScript.txt
* Created a new restore point
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
C:\WINDOWS\pvnsmfor.dll
.
((((((((((((((((((((((((( Files Created from 2008-04-25 to 2008-05-25 )))))))))))))))))))))))))))))))
.
2008-05-25 16:05 . 2008-05-25 16:05 <DIR> d-------- C:\327882R2FWJFW
2008-05-24 19:48 . 2008-05-24 19:48 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-24 19:48 . 2008-05-24 19:48 <DIR> d-------- C:\Documents and Settings\PATRICK\Application Data\Malwarebytes
2008-05-24 19:48 . 2008-05-24 19:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-24 19:48 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-24 19:48 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-24 16:12 . 2008-05-24 18:03 <DIR> d-------- C:\Program Files\Navilog1
2008-05-17 14:18 . 2008-05-17 14:18 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-05-17 13:29 . 2008-05-17 13:29 135 --a------ C:\WINDOWS\wininit.ini
2008-05-16 16:13 . 2008-05-16 16:13 <DIR> d-------- C:\WINDOWS\5888428E699C4E71BF7194EE06B497DA.TMP
2008-05-15 22:39 . 2008-05-16 16:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-12 08:34 . 2008-05-16 15:54 <DIR> d-------- C:\Documents and Settings\PATRICK\Application Data\TmpRecentIcons
2008-05-11 21:57 . 2008-05-11 21:57 1 --a------ C:\WINDOWS\system32\kr_done1de
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 21:42 --------- d-----w C:\Program Files\Google
2008-05-16 13:57 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-15 20:40 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-05-15 19:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-18 19:43 --------- d-----w C:\Program Files\BDGest
2008-04-03 21:23 --------- d-----w C:\Program Files\MediaCoder
2008-04-03 19:51 --------- d-----w C:\Documents and Settings\PATRICK\Application Data\dvdcss
2008-04-03 19:44 --------- d-----w C:\Program Files\Core Design
2008-04-01 19:55 5,120 --sha-w C:\Program Files\Thumbs.db
2008-04-01 16:04 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-01 16:04 --------- d-----w C:\Program Files\Ubi Soft
2006-01-07 13:51 41,064 ----a-w C:\Documents and Settings\PATRICK\Application Data\GDIPFONTCACHEV1.DAT
2005-11-08 19:51 117 ----a-w C:\Program Files\zvpmkwyh2.jpg.url
2004-12-01 16:18 62,865 ----a-w C:\WINDOWS\inf\IM\odysseyIM3.sys
2004-12-01 16:18 45,056 ----a-w C:\WINDOWS\inf\IM\imdinst.exe
2004-12-01 16:18 12,739 ----a-w C:\WINDOWS\inf\IM\odNetInstall.dll
2004-03-11 12:27 40,960 -c--a-w C:\Program Files\Uninstall_CDS.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-24_ 0.05.13.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-23 21:53:44 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-25 13:57:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF47FCFB-AA32-4ECC-9F32-C99E30385AF3}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F196C094-97CF-4408-AF4F-0E81D2079F20}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C17C95A8-9A32-4250-8F46-D7DFBB4B4947}"= "C:\WINDOWS\pvnsmfor.dll" [ ]
[HKEY_CLASSES_ROOT\clsid\{c17c95a8-9a32-4250-8f46-d7dfbb4b4947}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{85116C11-B265-4635-8FD8-A500007A6915}]
[HKEY_CLASSES_ROOT\pvnsmfor]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 22:45 1211176]
"ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 04:40 218032]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:56 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ddhelper"="C:\WINDOWS\W815DM.EXE" [2005-08-18 08:27 76800]
"AutoConnect"="C:\Documents and Settings\PATRICK\Local Settings\Temp\{19E1E0C2-C226-4B5E-8A33-663EB6B4B4E9}\{80CD64AA-7406-4508-BFDF-2DFE7F1F8EF0}\AutoConnect.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-28 17:34 360448]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"enuff_temp"="C:\Program Files\Akrontech\enuff\ENUFF.exe" [2005-08-18 08:27 331776]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"sdaemon"="C:\WINDOWS\sdaemon.exe" [2005-08-18 08:27 174592]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:56 15360]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
DataViz Messenger.lnk - C:\WINDOWS\DvzCommon\DvzMsgr.exe [2005-07-14 20:40:26 24576]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
"DisableTaskMgr"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"0"= Iexplore.exe
"1"= netscape.exe
"2"= icq.exe
"3"= msnmsgr.exe
"4"= Kazaa.exe
"5"= Edonkey2000.exe
"6"= msimn.exe
"7"= icq2000.exe
"8"= real.exe
"9"= wmplayer.exe
"10"= aim.exe
"11"= emule.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNeDSM]
byXNeDSM.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.JPGL"= jpgl.dll
"MSACM.CEGSM"= mobilev.acm
"VIDC.X264"= x264vfw.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Gaming Zone\\zclient.exe"=
"C:\\Program Files\\CompeGPS\\CompeGPSAIR.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE"=
"D:\\download\\nexuiz-21\\Nexuiz\\nexuiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpctr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 11:52]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-02-15 17:31]
R3 hhdusbh;USB Monitor Filter Driver;C:\WINDOWS\system32\drivers\hhdusbh.sys [2007-10-02 12:28]
S3 DCamUSBNW812;NW812 USB PC Camera;C:\WINDOWS\system32\DRIVERS\pcam812.sys [2003-08-13 12:25]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-28 09:59]
S3 GTUQBUS;GT UQ BUS;C:\WINDOWS\system32\DRIVERS\gtuqbus.sys [2007-03-28 09:59]
S3 Lower812;812 audio lower filter;C:\WINDOWS\system32\drivers\lower812.sys [2003-02-07 08:39]
S3 SE30bus;Sony Ericsson Device 048 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE30bus.sys [2006-11-10 09:48]
S3 SE30mdfl;Sony Ericsson Device 048 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE30mdfl.sys [2006-11-10 09:48]
S3 SE30mdm;Sony Ericsson Device 048 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE30mdm.sys [2006-11-10 09:48]
S3 SE30mgmt;Sony Ericsson Device 048 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE30mgmt.sys [2006-11-10 09:48]
S3 se30nd5;Sony Ericsson Device 048 USB Ethernet Emulation SEMC48 (NDIS);C:\WINDOWS\system32\DRIVERS\se30nd5.sys [2006-11-10 09:48]
S3 SE30obex;Sony Ericsson Device 048 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE30obex.sys [2006-11-10 09:48]
S3 se30unic;Sony Ericsson Device 048 USB Ethernet Emulation SEMC48 (WDM);C:\WINDOWS\system32\DRIVERS\se30unic.sys [2006-11-10 09:48]
S3 z530bus;Sony Ericsson Z530 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\z530bus.sys [2005-10-07 15:11]
S3 z530mdfl;Sony Ericsson Z530 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\z530mdfl.sys [2005-10-07 15:12]
S3 z530mdm;Sony Ericsson Z530 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\z530mdm.sys [2005-10-07 15:12]
S3 z530mgmt;Sony Ericsson Z530 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\z530mgmt.sys [2005-10-07 15:13]
S3 Z550bus;Sony Ericsson Z550 driver (WDM);C:\WINDOWS\system32\DRIVERS\Z550bus.sys [2006-03-13 17:37]
S3 Z550mdfl;Sony Ericsson Z550 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\Z550mdfl.sys [2006-03-13 17:37]
S3 Z550mdm;Sony Ericsson Z550 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\Z550mdm.sys [2006-03-13 17:37]
S3 Z550mgmt;Sony Ericsson Z550 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\Z550mgmt.sys [2006-03-13 17:37]
S3 Z550obex;Sony Ericsson Z550 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\Z550obex.sys [2006-03-13 17:37]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18bc8e78-47f4-11dc-ae5a-00023f0d996e}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe
.
Contents of the 'Scheduled Tasks' folder
"2008-05-24 19:47:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-25 14:16:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 16:14:49
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
[HKEY_LOCAL_MACHINE\system\ControlSet004\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> ?:\WINDOWS\system32\msi.dll
-> ?:\WINDOWS\system32\msi.dll
-> ?:\WINDOWS\system32\SETUPAPI.dll
-> ?:\WINDOWS\system32\SETUPAPI.dll
-> ?:\WINDOWS\system32\SETUPAPI.dll
.
Completion time: 2008-05-25 16:18:48
ComboFix-quarantined-files.txt 2008-05-25 14:17:39
ComboFix2.txt 2008-05-25 13:13:27
Pre-Run: 3,325,280,256 bytes free
Post-Run: 3,310,792,704 bytes free
192
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:44:29, on 25/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CVSEXPSS.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\SXPESVC.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\W815DM.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Akrontech\enuff\ENUFF.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
E:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Inter | | |
