Malekal's forum

par **loub** » 19 Juil 2012 18:41

Bonjour,

J'ai depuis peu un virus sur mon pc, sous windows xp. J'ai essayé vos conseils trouvé sur plusieurs forum, mais je ne trouve pas de réponse.

Avast me répète sans cesse que je suis infectée et me le répète aussi à chaque fois quej'ouvre une page google. J'ai fait un scan rapide, et il me diagnpstic 3 menaces :

2 dans c:\WINDOWS\explorer.exe SEVERITE : haute ETAT : menace : win32:batimal-x
1 dans c:\WINDOWS\systeme32\winlogon.exe SEVERITE : haute ETAT : menace : win32:batimal-x

A partir de là, je suis allée me renseigner sur le net et je suis tombée sur vos forums.
J'ai essayée de vous envoyer mon diagnostic via pjjoint.malekal.com, mais ça ne marche pas, firefox m'envoie ce message : Connexion interrompue, La liaison au réseau a été interrompue pendant la négociation d'une connexion.

Ensuite, j'ai téléchargé "Kaspersky" qui m'indique ceci : ROOTKIT.WIN32.TDSS.TDL3
Service : Serial
Malware object, hight risk

Et enfin J'ai téléchargé "GMER" et fait un scan mais il ne détecte rien.

Lors de tout ces scans, j'ai désactivé mon antivirus. Je ne comprend rien! Du coup je me demandais si je ne pouvais pas le supprimer via kasperski? Ou est-ce que ça risque de supprimer des éléments de windows?

Aussi plusieurs fichiers du bureau et des mes documents se sont només en vert. Est-ce windows qui m'indique que se sont des fichiers infectés? L'ordi possède 2 disques durs, j'ai voulu enregistrer un programme sur le disc D? Mais impossible, sois disant le disque dur est saturé alors qu'il reste 60 giga de place. Du coup, Je me suis résolue à reformater le disc D, mais ça ne marche pas non plus. Il est en fat32 et d'après les conseils de mon ami, il devrait être en NTFS. Est-ce aussi a cause de ce virus que je n'arrive pas à le reformater?

Un tout grand merci d'avance pour votre réponse.

par **Malekal_morte** » 19 Juil 2012 18:49

Salut,

Sauvegarde tes documents importants.
A lire en entier.

<gras>Désactive les logiciels de protection (Antivirus, Antispywares) </gras>
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

<gras>Si Combofix émet toujours une alerte sur l'antivirus :</gras> Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
<gras>Hébergement du rapport :</gras> Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.

par **angelique** » 19 Juil 2012 18:52

bah va peut etre te résigner à sauver tes données et réinitialiser d'usine si ç'est un PC de marchands de nouilles, voir http://forum.malekal.com/restauration-c ... 29605.html

bamital ça pu bien ;) voir: http://forum.malekal.com/trojan-bamital ... 28779.html

Pour TDSS.TDL3 , TdssKiller va gérer CURE serial.sys:

Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

===> apres faut tout faire en liveCD pour les fichiers patchés bamital et encore pas certaine qu'on y arrive , ComboFix fera pas de miracle à mon avis^^, ça se passe Comme ça : virus-gendarmerie-nationale-t35091.html#p271704 et poste le rapport.

EDIT:: Malekal a posté avant moi lol

ç'est LuckyLuc ... suit ses recommendations avant !!

ça représente un gros travail de lecture ;) et de script RUNFIX en correction et sans certitude de success.

par **loub** » 19 Juil 2012 19:58

à Malekal_morte :

voici le rapport :

ComboFix 12-07-19.02 - user 19/07/2012 19:06:29.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1535.857 [GMT 2:00]
Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\TEMP\AVG\avgmfapx.exe
c:\documents and settings\All Users\Application Data\TEMP\AVG\avgmfarx.dll
c:\documents and settings\All Users\Application Data\TEMP\AVG\avgntdumpx.exe
c:\documents and settings\All Users\Application Data\TEMP\AVG\avgrunasx.exe
c:\documents and settings\All Users\Application Data\TEMP\AVG\avi7.avg
c:\documents and settings\All Users\Application Data\TEMP\AVG\compat.ini
c:\documents and settings\All Users\Application Data\TEMP\AVG\htmlayout.dll
c:\documents and settings\All Users\Application Data\TEMP\AVG\incavi.avm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_cz.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_da.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_es.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_fr.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ge.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_hu.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_id.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_in.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_it.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_jp.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ko.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ms.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_nl.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_pb.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_pl.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_pt.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ru.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_sc.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_sk.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_sp.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_tr.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_us.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_zh.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\license_zt.htm
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaconf.txt
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfacz.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfada.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaes.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfafr.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfage.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfahu.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaid.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfain.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfait.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfajp.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfako.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfams.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfanl.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfapb.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfapl.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfapt.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaru.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfasc.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfask.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfasp.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfatr.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaus.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfavera.txt
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaverx.txt
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfazh.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\mfazt.lns
c:\documents and settings\All Users\Application Data\TEMP\AVG\microavi.avg
c:\documents and settings\All Users\Application Data\TEMP\AVG\miniavi.avg
c:\documents and settings\All Users\Application Data\TEMP\AVG\setup.exe
c:\documents and settings\All Users\Application Data\TEMP\AVG\setup.ini
c:\documents and settings\user\Favoris\Thumbs.db
c:\documents and settings\user\Local Settings\Application Data\Windows Server
c:\documents and settings\user\Local Settings\Application Data\Windows Server\flags.ini
c:\documents and settings\user\Local Settings\Application Data\Windows Server\server.dat
c:\documents and settings\user\Local Settings\Application Data\Windows Server\uses32.dat
c:\documents and settings\user\WINDOWS
c:\windows\system32\AutoRun.inf
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\rnaph.dll
c:\windows\system32\SET40.tmp
c:\windows\system32\SET45.tmp
.
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe
.
c:\windows\explorer.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-19 au 2012-07-19 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- C:\ZHP
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- c:\program files\ZHPDiag
2012-07-18 18:33 . 2012-07-03 16:21 721000 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-07-18 18:31 . 2012-07-03 16:21 41224 ----a-w- c:\windows\avastSS.scr
2012-07-18 18:29 . 2012-07-18 18:29 -------- d-----w- c:\program files\AVAST Software
2012-07-18 18:28 . 2012-07-18 18:29 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2012-07-18 18:12 . 2012-07-03 16:21 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-07-18 18:12 . 2012-07-03 16:21 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-07-18 18:12 . 2012-07-03 16:21 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-07-18 18:12 . 2012-07-03 16:21 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-07-18 18:12 . 2012-07-03 16:21 89624 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-07-18 18:12 . 2012-07-03 16:21 353688 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-07-18 18:12 . 2012-07-03 16:21 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-07-18 18:11 . 2012-07-03 16:21 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-07-18 18:11 . 2004-01-09 09:13 380928 ----a-w- c:\windows\system32\actskin4.ocx
2012-07-18 14:24 . 2012-07-18 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012
2012-07-18 14:09 . 2012-07-18 14:09 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Temp
2012-07-18 14:03 . 2012-07-18 18:16 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData
2012-07-18 04:49 . 2012-07-18 04:49 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files
2012-07-17 21:19 . 2012-07-17 21:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-17 21:19 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-17 21:07 . 2012-07-17 21:07 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
[7] 2004-08-19 . 123EEA158F74D0F67A51DCDF065D1091 . 506368 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-19 14:10 . !HASH: COULD NOT OPEN FILE !!!!! . 506368 . . [------] . . c:\windows\system32\winlogon.exe
[7] 2001-08-28 . 00F9B5AA053EF5E4C0A5D95F26005810 . 433152 . . [5.1.2600.29] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
[-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
[-] 2007-06-13 13:22 . 2D2077560DD49643BF1D71348D1D9695 . 1037312 . . [------] . . c:\windows\explorer.exe
[7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-19 . 2A7BD330924252A2FD80344FC949BB72 . 1036288 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2001-08-28 . 9E20A8EF0CA524446AFEE29F4423CC8F . 1005056 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-24 3309568]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-07-03 4273976]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [18/07/2012 20:33 721000]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/07/2012 20:12 353688]
R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [25/10/2007 11:24 6336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/07/2012 20:12 21256]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [17/07/2012 23:19 655944]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [17/07/2012 23:19 22344]
S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [25/10/2007 11:24 13344]
S2 tjjvqhzd;Print Class for IEEE-1284.4 HPZipr12Support;c:\windows\System32\svchost.exe -k netsvcs [28/08/2001 14:00 14336]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [05/07/2008 20:25 31547]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
tjjvqhzd
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-19 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-07-18 16:21]
.
2012-07-19 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-30 21:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource= ... =CT2528058
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{0B670054-4B5A-4C6D-B3B2-2B665AED02E1}: NameServer = 80.10.246.3,80.10.246.130
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\6k251cpm.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://google.be/
FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7Bbf ... &sap=ku&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-19 19:36
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SEAGATE_ rev.DS09 -> Harddisk0\DR0 -> \Device\Scsi\symmpi2Port2Path0Target1Lun0
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86540EC5]<<
_asm { PUSH EBP; MOV EBP, ESP; SUB ESP, 0x1c; PUSH EBX; PUSH ESI; MOV DWORD [EBP-0x4], 0x882eb872; SUB DWORD [EBP-0x4], 0x882eb12e; PUSH EDI; CALL 0xffffffffffffdf33; }
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x867D8AB8]
3 CLASSPNP[0xF788005B] -> nt!IofCallDriver[0x804E37D5] -> [0x865D3030]
[0x864CA6C8] -> IRP_MJ_CREATE -> 0x86540EC5
kernel: MBR read successfully
_asm { CLI ; XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV SI, SP; PUSH AX; POP ES; PUSH AX; POP DS; STI ; CLD ; MOV DI, 0x600; MOV CX, 0x100; REPNZ MOVSW ; JMP FAR 0x0:0x61d; }
detected disk devices:
\Device\Scsi\symmpi2Port2Path0Target0Lun0 -> \??\SCSI#Disk&Ven_SEAGATE&Prod_ST336607LW&Rev_DS09#5&18752c52&0&000#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
sectors 71132957 (+255): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\spkrmon.exe
.
**************************************************************************
.
Heure de fin: 2012-07-19 19:45:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-19 17:45
.
Avant-CF: 26 318 958 592 octets libres
Après-CF: 26 400 567 296 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 5018EEEDE714DF7DA4FF56C37C3B8F00

par **angelique** » 19 Juil 2012 20:03

Fait comme j'ai dit virus-gendarmerie-nationale-t35091.html#p271704

ComboFix a pas tout géré bamital !!!

par **loub** » 19 Juil 2012 20:53

Merci d'avoir répondu plus vite que vos ombre ;)

En fait je n'ai Pas de cd vierge! je vais faire l'opération ce we.Si on ne trouve pas de solution, je pense que je vais malheureusement formater les disques. D'ailleurs, est-ce que je peux copier mes données sans risquer d'infecter mon disque externe?

par **angelique** » 20 Juil 2012 09:12

Comme ça alors:

===> Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Extra::
NtSvcs::
tjjvqhzd
Driver::
tjjvqhzd
File::
c:\windows\Tasks\WGASetup.job
FCOPY::
c:\windows\ServicePackFiles\i386\explorer.exe | c:\windows\explorer.exe
c:\windows\ServicePackFiles\i386\winlogon.exe | c:\windows\system32\winlogon.exe
Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="100"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"link"=hex:00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001
DDS::
uStart Page = hxxp://search.conduit.com?SearchSource= ... =CT2528058
Firefox::
FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\6k251cpm.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

par **loub** » 25 Juil 2012 00:14

bonsoir !

bon l'opération a un peu trainée mais en voilà le resultat :

>>>>>>>>>>

ComboFix 12-07-25.04 - user 24/07/2012 23:38:46.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.255.130 [GMT 2:00]
Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\user\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\windows\Tasks\WGASetup.job"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\OLD1B.tmp
c:\windows\OLD20.tmp
c:\windows\OLD24.tmp
c:\windows\system32\OLD1E.tmp
c:\windows\system32\OLD22.tmp
c:\windows\system32\OLD26.tmp
.
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe
.
c:\windows\explorer.exe . . . est infecté!!
.
.
--------------- FCopy ---------------
.
c:\windows\ServicePackFiles\i386\explorer.exe --> c:\windows\explorer.exe
c:\windows\ServicePackFiles\i386\winlogon.exe --> c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_TJJVQHZD
-------\Service_tjjvqhzd
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-24 au 2012-07-24 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-24 20:30 . 2012-07-24 20:30 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2012-07-24 20:18 . 2012-07-24 21:59 -------- d-----w- c:\documents and settings\user\Application Data\WTablet
2012-07-24 20:10 . 2012-07-24 20:11 -------- d---a-w- c:\program files\PhotoshopPortableCS4
2012-07-24 19:59 . 2012-07-24 19:59 -------- d-----w- c:\documents and settings\All Users\Application Data\regid.1986-12.com.adobe
2012-07-24 19:18 . 2012-07-24 19:18 -------- d-----w- C:\WTablet
2012-07-24 19:18 . 2009-03-26 14:38 6561064 ----a-w- c:\windows\system32\WacomTablet.cpl
2012-07-24 19:17 . 2007-02-15 14:11 11440 ----a-w- c:\windows\system32\drivers\WacomVKHid.sys
2012-07-24 19:17 . 2008-07-11 09:16 13352 ----a-w- c:\windows\system32\drivers\wacomvhid.sys
2012-07-24 19:17 . 2007-02-16 09:12 11312 ----a-w- c:\windows\system32\drivers\wacommousefilter.sys
2012-07-24 19:17 . 2008-10-06 09:53 15656 ----a-w- c:\windows\system32\drivers\wacmoumonitor.sys
2012-07-24 19:17 . 2012-07-24 19:17 -------- d-----w- c:\windows\system32\WTablet
2012-07-24 19:16 . 2009-03-26 15:15 2789672 ----a-w- c:\windows\system32\Wacom_Tablet.exe
2012-07-24 19:16 . 2009-03-26 14:40 213288 ----a-w- c:\windows\system32\Wacom_Tablet.dll
2012-07-24 19:16 . 2009-03-26 14:10 172840 ----a-w- c:\windows\system32\Wintab32.dll
2012-07-24 19:16 . 2012-07-24 19:18 -------- d-----w- c:\program files\Tablet
2012-07-24 18:37 . 2012-07-24 19:40 -------- d-----w- c:\documents and settings\user\Adobe Photoshop CS6
2012-07-24 18:36 . 2012-07-24 18:36 -------- d-----w- c:\program files\Adobe Download Assistant
2012-07-24 14:46 . 2012-07-24 14:46 -------- d-----w- c:\documents and settings\user\Application Data\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-07-24 14:46 . 2012-07-24 14:46 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2012-07-24 14:24 . 2012-07-24 14:41 -------- d-----w- C:\TDSSKiller_Quarantine
2012-07-24 14:04 . 2012-07-24 19:55 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-07-24 14:04 . 2012-07-24 20:50 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Adobe
2012-07-20 18:28 . 2012-07-20 18:28 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-07-20 18:28 . 2012-07-14 00:15 136672 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- C:\ZHP
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- c:\program files\ZHPDiag
2012-07-18 18:33 . 2012-07-03 16:21 721000 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-07-18 18:31 . 2012-07-03 16:21 41224 ----a-w- c:\windows\avastSS.scr
2012-07-18 18:29 . 2012-07-18 18:29 -------- d-----w- c:\program files\AVAST Software
2012-07-18 18:28 . 2012-07-18 18:29 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2012-07-18 18:12 . 2012-07-03 16:21 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-07-18 18:12 . 2012-07-03 16:21 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-07-18 18:12 . 2012-07-03 16:21 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-07-18 18:12 . 2012-07-03 16:21 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-07-18 18:12 . 2012-07-03 16:21 89624 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-07-18 18:12 . 2012-07-03 16:21 353688 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-07-18 18:12 . 2012-07-03 16:21 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-07-18 18:11 . 2012-07-03 16:21 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-07-18 18:11 . 2004-01-09 09:13 380928 ----a-w- c:\windows\system32\actskin4.ocx
2012-07-18 14:24 . 2012-07-18 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012
2012-07-18 14:09 . 2012-07-24 18:27 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Temp
2012-07-18 14:03 . 2012-07-18 18:16 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData
2012-07-18 04:49 . 2012-07-18 04:49 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files
2012-07-17 21:19 . 2012-07-17 21:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-17 21:19 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-17 21:07 . 2012-07-17 21:07 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-24 14:42 . 2001-08-28 12:00 66560 ----a-w- c:\windows\system32\drivers\serial.sys
2012-07-14 00:15 . 2012-07-20 18:28 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
[7] 2004-08-19 . 123EEA158F74D0F67A51DCDF065D1091 . 506368 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-19 14:10 . !HASH: COULD NOT OPEN FILE !!!!! . 506368 . . [------] . . c:\windows\system32\winlogon.exe
[7] 2001-08-28 . 00F9B5AA053EF5E4C0A5D95F26005810 . 433152 . . [5.1.2600.29] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
[-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
[7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2004-08-19 14:09 . BF4D437A7591163265B316162DCC1F16 . 1036288 . . [------] . . c:\windows\explorer.exe
[7] 2004-08-19 . 2A7BD330924252A2FD80344FC949BB72 . 1036288 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2001-08-28 . 9E20A8EF0CA524446AFEE29F4423CC8F . 1005056 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2012-07-19_17.36.55 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-05-13 18:17 . 2011-05-13 18:17 65536 c:\windows\WinSxS\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_452bf920\vcomp.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 49152 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80KOR.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 49152 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80JPN.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ITA.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80FRA.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ESP.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 57344 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ENU.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 65536 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80DEU.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 45056 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80CHT.dll
+ 2012-07-24 14:00 . 2006-12-01 14:08 40960 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80CHS.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 49152 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80KOR.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 49152 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80JPN.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80ITA.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80FRA.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 61440 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80ESP.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 57344 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80ENU.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 65536 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80DEU.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 45056 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80CHT.dll
+ 2011-05-13 17:45 . 2011-05-13 17:45 40960 c:\windows\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_6a5bb789\mfc80CHS.dll
+ 2012-07-24 14:00 . 2006-12-01 14:26 57856 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfcm80u.dll
+ 2012-07-24 14:00 . 2006-12-01 14:25 69632 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfcm80.dll
+ 2011-05-13 23:06 . 2011-05-13 23:06 57856 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_150c9e8b\mfcm80u.dll
+ 2011-05-13 23:23 . 2011-05-13 23:23 69632 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_150c9e8b\mfcm80.dll
+ 2012-07-24 14:00 . 2006-12-01 12:56 96256 c:\windows\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_cbb27474\ATL80.dll
+ 2011-05-13 16:37 . 2011-05-13 16:37 97280 c:\windows\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_a4c618fa\ATL80.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 51024 c:\windows\system32\vcomp100.dll
+ 2012-07-24 19:17 . 2001-08-23 15:04 12288 c:\windows\system32\ReinstallBackups\0011\DriverFiles\i386\mouhid.sys
+ 2012-07-24 19:17 . 2004-08-19 13:52 23680 c:\windows\system32\ReinstallBackups\0011\DriverFiles\i386\mouclass.sys
+ 2011-02-19 21:03 . 2011-02-19 21:03 81744 c:\windows\system32\mfcm100u.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 81744 c:\windows\system32\mfcm100.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 60752 c:\windows\system32\mfc100rus.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 43344 c:\windows\system32\mfc100kor.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 43856 c:\windows\system32\mfc100jpn.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 62288 c:\windows\system32\mfc100ita.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 64336 c:\windows\system32\mfc100fra.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 63824 c:\windows\system32\mfc100esn.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 55120 c:\windows\system32\mfc100enu.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 64336 c:\windows\system32\mfc100deu.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 36176 c:\windows\system32\mfc100cht.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 36176 c:\windows\system32\mfc100chs.dll
+ 2001-08-23 17:04 . 2004-08-19 13:52 23680 c:\windows\system32\dllcache\mouclass.sys
+ 2012-07-24 18:36 . 2012-07-24 18:36 21504 c:\windows\Installer\cb68d1.msi
+ 2012-07-24 14:46 . 2012-07-24 14:46 28672 c:\windows\Installer\3dbc2.msi
+ 2012-07-24 19:44 . 2012-07-24 19:44 10134 c:\windows\Installer\{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}\ARPPRODUCTICON.exe
+ 2012-07-24 19:44 . 2012-07-24 19:44 10134 c:\windows\Installer\{08D2E121-7F6A-43EB-97FD-629B44903403}\ARPPRODUCTICON.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 17304 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\ViewerPS.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 35736 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\reader_sl.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 88992 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\PDFPrevHndlr.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 94608 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\eula.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 49064 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\acrotextextractor.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 17824 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AcroRd32Info.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 63912 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\acroiehelpershim.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 64928 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AcroIEHelper.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 63384 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\Acrofx32.dll
+ 2009-06-26 17:07 . 2009-06-26 17:07 653120 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_d494ac0e\msvcr90.dll
+ 2009-06-26 17:07 . 2009-06-26 17:07 569664 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_d494ac0e\msvcp90.dll
+ 2009-06-26 17:10 . 2009-06-26 17:10 225280 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4137_x-ww_d494ac0e\msvcm90.dll
- 2006-12-01 21:54 . 2006-12-01 21:54 626688 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
+ 2006-12-01 21:54 . 2006-12-01 12:54 626688 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
+ 2006-12-01 21:54 . 2006-12-01 12:54 548864 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll
- 2006-12-01 21:54 . 2006-12-01 21:54 548864 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll
+ 2006-12-01 21:54 . 2006-12-01 12:54 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll
- 2006-12-01 21:54 . 2006-12-01 21:54 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll
+ 2011-05-13 23:17 . 2011-05-13 23:17 632656 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_44262b86\msvcr80.dll
+ 2011-05-13 23:12 . 2011-05-13 23:12 554832 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_44262b86\msvcp80.dll
+ 2011-05-13 23:11 . 2011-05-13 23:11 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_44262b86\msvcm80.dll
+ 2012-07-24 19:17 . 2009-03-26 15:16 186664 c:\windows\system32\WTablet\Wacom_TabletUser.exe
+ 2011-02-18 22:40 . 2011-02-18 22:40 773968 c:\windows\system32\msvcr100.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 421200 c:\windows\system32\msvcp100.dll
+ 2006-10-25 10:08 . 2012-03-12 18:56 947472 c:\windows\system32\msjava.dll
- 2006-10-25 10:08 . 2003-02-28 16:26 947472 c:\windows\system32\msjava.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 138056 c:\windows\system32\atl100.dll
+ 2012-07-24 19:48 . 2012-07-24 19:48 467456 c:\windows\Installer\11746ca.msi
+ 2012-07-24 19:44 . 2012-07-24 19:44 160768 c:\windows\Installer\114571b.msi
+ 2012-07-24 19:44 . 2012-07-24 19:44 316416 c:\windows\Installer\1145715.msi
+ 2012-07-24 19:44 . 2012-07-24 19:44 356352 c:\windows\Installer\114570f.msi
+ 2011-06-06 10:55 . 2011-06-06 10:55 249232 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\sqlite.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 394136 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\pdfshell.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 103848 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\PDFPrevHndlrShim.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 183696 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\nppdf32.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 104344 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AiodLite.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 937920 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\adobearm.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 102808 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AcroRdIF.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 755088 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AcroPDF.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 296344 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\acrobroker.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 205720 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\a3dutils.dll
+ 2012-07-24 14:00 . 2006-12-01 14:25 1093120 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80u.dll
+ 2012-07-24 14:00 . 2006-12-01 14:25 1101824 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80.dll
+ 2011-05-13 18:04 . 2011-05-13 18:04 1093120 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_150c9e8b\mfc80u.dll
+ 2011-05-13 18:04 . 2011-05-13 18:04 1101824 c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.6195_x-ww_150c9e8b\mfc80.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 4422992 c:\windows\system32\mfc100u.dll
+ 2011-02-19 21:03 . 2011-02-19 21:03 4397384 c:\windows\system32\mfc100.dll
+ 2006-10-25 10:47 . 2012-07-24 20:30 3614176 c:\windows\system32\FNTCACHE.DAT
+ 2012-07-24 18:26 . 2012-07-24 18:26 2310144 c:\windows\Installer\cb689b.msi
+ 2012-07-24 19:50 . 2012-07-24 19:50 2098688 c:\windows\Installer\11746fd.msi
+ 2011-06-06 10:55 . 2011-06-06 10:55 2215312 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\rt3d.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 1189004 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\JSByteCodeWin.bin
+ 2011-06-06 10:55 . 2011-06-06 10:55 6543768 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\authplay.dll
+ 2011-06-06 10:55 . 2011-06-06 10:55 1240992 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AdobeCollabSync.exe
+ 2011-06-06 10:55 . 2011-06-06 10:55 1480600 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AcroRd32.exe
+ 2012-04-04 11:17 . 2012-04-04 11:17 16613376 c:\windows\Installer\cb689c.msp
+ 2011-06-06 10:55 . 2011-06-06 10:55 24731544 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA76301B744AA0100000010\10.1.0\AcroRd32.dll
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-24 3309568]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-07-03 4273976]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"AdobeAAMUpdater-1.0"="c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
"SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files\Fichiers communs\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [18/07/2012 20:33 721000]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/07/2012 20:12 353688]
R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [25/10/2007 11:24 6336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/07/2012 20:12 21256]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [17/07/2012 23:19 655944]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [24/07/2012 21:16 2789672]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [17/07/2012 23:19 22344]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [24/07/2012 21:17 15656]
S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [25/10/2007 11:24 13344]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [20/07/2012 20:28 113120]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [05/07/2008 20:25 31547]
S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 13:37 517096]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-24 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-07-18 16:21]
.
2012-07-24 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-30 21:18]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{0B670054-4B5A-4C6D-B3B2-2B665AED02E1}: NameServer = 80.10.246.3,80.10.246.130
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\6k251cpm.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.be/
FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7Bbf ... &sap=ku&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-AdobeBridge - (no file)
SafeBoot-21228488.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-25 00:01
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SEAGATE_ rev.DS09 -> Harddisk0\DR0 -> \Device\Scsi\symmpi2Port2Path0Target1Lun0
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
sectors 71132957 (+255): user != kernel
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\spkrmon.exe
c:\windows\system32\WTablet\Wacom_TabletUser.exe
.
**************************************************************************
.
Heure de fin: 2012-07-25 00:07:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-24 22:06
ComboFix2.txt 2012-07-19 17:45
.
Avant-CF: 21 119 528 960 octets libres
Après-CF: 21 070 680 064 octets libres
.
- - End Of File - - 771F870E45868E51A0BD671A8EC18EDD

j'ai pas vraiment compris ce que ça a fait mais j'ai l'impression que le rapport contient du lourd... 8B
merci en tous cas pour vos tuyaux j’espère que ça finira par marcher!!

par **Malekal_morte** » 25 Juil 2012 09:28

Refais un scan Combofix pour voir et poste le rapport.

par **loub** » 26 Juil 2012 16:59

Bonjour, voici le nouveau rapport,

ComboFix 12-07-25.04 - user 26/07/2012 16:41:01.3.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1535.1054 [GMT 2:00]
Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\explorer.exe . . . est infecté!!
.
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-26 au 2012-07-26 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-24 20:30 . 2012-07-24 20:30 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2012-07-24 20:18 . 2012-07-26 14:50 -------- d-----w- c:\documents and settings\user\Application Data\WTablet
2012-07-24 20:10 . 2012-07-24 20:11 -------- d---a-w- c:\program files\PhotoshopPortableCS4
2012-07-24 19:59 . 2012-07-24 19:59 -------- d-----w- c:\documents and settings\All Users\Application Data\regid.1986-12.com.adobe
2012-07-24 19:18 . 2012-07-24 19:18 -------- d-----w- C:\WTablet
2012-07-24 19:18 . 2009-03-26 14:38 6561064 ----a-w- c:\windows\system32\WacomTablet.cpl
2012-07-24 19:17 . 2007-02-15 14:11 11440 ----a-w- c:\windows\system32\drivers\WacomVKHid.sys
2012-07-24 19:17 . 2008-07-11 09:16 13352 ----a-w- c:\windows\system32\drivers\wacomvhid.sys
2012-07-24 19:17 . 2007-02-16 09:12 11312 ----a-w- c:\windows\system32\drivers\wacommousefilter.sys
2012-07-24 19:17 . 2008-10-06 09:53 15656 ----a-w- c:\windows\system32\drivers\wacmoumonitor.sys
2012-07-24 19:17 . 2012-07-24 19:17 -------- d-----w- c:\windows\system32\WTablet
2012-07-24 19:16 . 2009-03-26 15:15 2789672 ----a-w- c:\windows\system32\Wacom_Tablet.exe
2012-07-24 19:16 . 2009-03-26 14:40 213288 ----a-w- c:\windows\system32\Wacom_Tablet.dll
2012-07-24 19:16 . 2009-03-26 14:10 172840 ----a-w- c:\windows\system32\Wintab32.dll
2012-07-24 19:16 . 2012-07-24 19:18 -------- d-----w- c:\program files\Tablet
2012-07-24 18:37 . 2012-07-24 19:40 -------- d-----w- c:\documents and settings\user\Adobe Photoshop CS6
2012-07-24 18:36 . 2012-07-24 18:36 -------- d-----w- c:\program files\Adobe Download Assistant
2012-07-24 14:46 . 2012-07-24 14:46 -------- d-----w- c:\documents and settings\user\Application Data\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-07-24 14:46 . 2012-07-24 14:46 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2012-07-24 14:24 . 2012-07-24 14:41 -------- d-----w- C:\TDSSKiller_Quarantine
2012-07-24 14:04 . 2012-07-24 19:55 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-07-24 14:04 . 2012-07-24 20:50 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Adobe
2012-07-20 18:28 . 2012-07-20 18:28 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-07-20 18:28 . 2012-07-14 00:15 136672 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- C:\ZHP
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- c:\program files\ZHPDiag
2012-07-18 18:33 . 2012-07-03 16:21 721000 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-07-18 18:31 . 2012-07-03 16:21 41224 ----a-w- c:\windows\avastSS.scr
2012-07-18 18:29 . 2012-07-18 18:29 -------- d-----w- c:\program files\AVAST Software
2012-07-18 18:28 . 2012-07-18 18:29 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2012-07-18 18:12 . 2012-07-03 16:21 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-07-18 18:12 . 2012-07-03 16:21 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-07-18 18:12 . 2012-07-03 16:21 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-07-18 18:12 . 2012-07-03 16:21 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-07-18 18:12 . 2012-07-03 16:21 89624 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-07-18 18:12 . 2012-07-03 16:21 353688 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-07-18 18:12 . 2012-07-03 16:21 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-07-18 18:11 . 2012-07-03 16:21 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-07-18 18:11 . 2004-01-09 09:13 380928 ----a-w- c:\windows\system32\actskin4.ocx
2012-07-18 14:24 . 2012-07-18 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012
2012-07-18 14:09 . 2012-07-24 18:27 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Temp
2012-07-18 14:03 . 2012-07-18 18:16 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData
2012-07-18 04:49 . 2012-07-18 04:49 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files
2012-07-17 21:19 . 2012-07-17 21:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-17 21:19 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-17 21:07 . 2012-07-17 21:07 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-24 14:42 . 2001-08-28 12:00 66560 ----a-w- c:\windows\system32\drivers\serial.sys
2012-07-14 00:15 . 2012-07-20 18:28 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
[7] 2004-08-19 . 123EEA158F74D0F67A51DCDF065D1091 . 506368 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-19 . 229612EFC6EFFA5B2400A506F2353F45 . 506368 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[7] 2001-08-28 . 00F9B5AA053EF5E4C0A5D95F26005810 . 433152 . . [5.1.2600.29] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
[-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
[7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2004-08-19 . BF4D437A7591163265B316162DCC1F16 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[7] 2004-08-19 . 2A7BD330924252A2FD80344FC949BB72 . 1036288 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2001-08-28 . 9E20A8EF0CA524446AFEE29F4423CC8F . 1005056 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot_2012-07-24_22.01.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-30 21:30 . 2008-07-08 13:03 18296 c:\windows\system32\spmsg.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 44544 c:\windows\system32\pngfilt.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 44544 c:\windows\system32\pngfilt.dll
+ 2007-08-13 16:54 . 2010-05-04 17:17 52224 c:\windows\system32\msfeedsbs.dll
- 2007-08-13 16:54 . 2010-03-11 12:34 52224 c:\windows\system32\msfeedsbs.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 27648 c:\windows\system32\jsproxy.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 27648 c:\windows\system32\jsproxy.dll
- 2007-08-13 16:39 . 2010-03-10 13:19 13824 c:\windows\system32\ieudinit.exe
+ 2007-08-13 16:39 . 2010-05-04 12:39 13824 c:\windows\system32\ieudinit.exe
- 2001-08-28 12:00 . 2010-03-11 12:34 44544 c:\windows\system32\iernonce.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 44544 c:\windows\system32\iernonce.dll
- 2006-10-25 12:23 . 2010-03-11 12:34 78336 c:\windows\system32\ieencode.dll
+ 2006-10-25 12:23 . 2010-05-04 17:17 78336 c:\windows\system32\ieencode.dll
- 2001-08-28 12:00 . 2010-03-10 13:19 70656 c:\windows\system32\ie4uinit.exe
+ 2001-08-28 12:00 . 2010-05-04 12:39 70656 c:\windows\system32\ie4uinit.exe
- 2007-08-13 16:36 . 2010-03-11 12:34 63488 c:\windows\system32\icardie.dll
+ 2007-08-13 16:36 . 2010-05-04 17:17 63488 c:\windows\system32\icardie.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 44544 c:\windows\system32\dllcache\pngfilt.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 44544 c:\windows\system32\dllcache\pngfilt.dll
- 2007-10-24 16:19 . 2010-03-11 12:34 52224 c:\windows\system32\dllcache\msfeedsbs.dll
+ 2007-10-24 16:19 . 2010-05-04 17:17 52224 c:\windows\system32\dllcache\msfeedsbs.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 27648 c:\windows\system32\dllcache\jsproxy.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 27648 c:\windows\system32\dllcache\jsproxy.dll
+ 2007-10-24 16:19 . 2010-05-04 12:39 13824 c:\windows\system32\dllcache\ieudinit.exe
- 2007-10-24 16:19 . 2010-03-10 13:19 13824 c:\windows\system32\dllcache\ieudinit.exe
+ 2007-08-13 16:39 . 2010-05-04 17:17 44544 c:\windows\system32\dllcache\iernonce.dll
- 2007-08-13 16:39 . 2010-03-11 12:34 44544 c:\windows\system32\dllcache\iernonce.dll
- 2007-08-13 16:45 . 2010-03-11 12:34 78336 c:\windows\system32\dllcache\ieencode.dll
+ 2007-08-13 16:45 . 2010-05-04 17:17 78336 c:\windows\system32\dllcache\ieencode.dll
- 2007-08-13 16:39 . 2010-03-10 13:19 70656 c:\windows\system32\dllcache\ie4uinit.exe
+ 2007-08-13 16:39 . 2010-05-04 12:39 70656 c:\windows\system32\dllcache\ie4uinit.exe
+ 2007-10-24 16:19 . 2010-05-04 17:17 63488 c:\windows\system32\dllcache\icardie.dll
- 2007-10-24 16:19 . 2010-03-11 12:34 63488 c:\windows\system32\dllcache\icardie.dll
- 2007-08-13 16:42 . 2010-03-11 12:34 17408 c:\windows\system32\dllcache\corpol.dll
+ 2007-08-13 16:42 . 2010-05-04 17:17 17408 c:\windows\system32\dllcache\corpol.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 17408 c:\windows\system32\corpol.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 17408 c:\windows\system32\corpol.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 77824 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.Web.RegularExpressions.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 81920 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.Drawing.Design.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 69120 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\CustomMarshalers.dll
+ 2012-07-26 14:28 . 2008-07-25 09:16 13312 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\cscompmgd.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 10752 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\Accessibility.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 44544 c:\windows\ie7updates\KB982381-IE7\pngfilt.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 52224 c:\windows\ie7updates\KB982381-IE7\msfeedsbs.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 27648 c:\windows\ie7updates\KB982381-IE7\jsproxy.dll
+ 2012-07-26 14:17 . 2010-03-10 13:19 13824 c:\windows\ie7updates\KB982381-IE7\ieudinit.exe
+ 2012-07-26 14:17 . 2010-03-11 12:34 44544 c:\windows\ie7updates\KB982381-IE7\iernonce.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 78336 c:\windows\ie7updates\KB982381-IE7\ieencode.dll
+ 2012-07-26 14:18 . 2010-03-10 13:19 70656 c:\windows\ie7updates\KB982381-IE7\ie4uinit.exe
+ 2012-07-26 14:18 . 2010-03-11 12:34 63488 c:\windows\ie7updates\KB982381-IE7\icardie.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 17408 c:\windows\ie7updates\KB982381-IE7\corpol.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 8192 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\IEExecRemote.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 832512 c:\windows\system32\wininet.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 832512 c:\windows\system32\wininet.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 233472 c:\windows\system32\webcheck.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 233472 c:\windows\system32\webcheck.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 105984 c:\windows\system32\url.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 105984 c:\windows\system32\url.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 102912 c:\windows\system32\occache.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 102912 c:\windows\system32\occache.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 671232 c:\windows\system32\mstime.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 671232 c:\windows\system32\mstime.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 193024 c:\windows\system32\msrating.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 193024 c:\windows\system32\msrating.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 477696 c:\windows\system32\mshtmled.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 477696 c:\windows\system32\mshtmled.dll
- 2007-08-13 16:54 . 2010-03-11 12:34 459264 c:\windows\system32\msfeeds.dll
+ 2007-08-13 16:54 . 2010-05-04 17:17 459264 c:\windows\system32\msfeeds.dll
- 2007-08-13 16:34 . 2010-03-11 12:34 268288 c:\windows\system32\iertutil.dll
+ 2007-08-13 16:34 . 2010-05-04 17:17 268288 c:\windows\system32\iertutil.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 192512 c:\windows\system32\iepeers.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 192512 c:\windows\system32\iepeers.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 385024 c:\windows\system32\iedkcs32.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 385024 c:\windows\system32\iedkcs32.dll
- 2007-07-11 10:27 . 2010-03-11 12:34 380928 c:\windows\system32\ieapfltr.dll
+ 2007-07-11 10:27 . 2010-05-04 17:17 380928 c:\windows\system32\ieapfltr.dll
- 2001-08-28 12:00 . 2010-02-23 05:18 161792 c:\windows\system32\ieakui.dll
+ 2001-08-28 12:00 . 2010-04-16 11:43 161792 c:\windows\system32\ieakui.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 230400 c:\windows\system32\ieaksie.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 230400 c:\windows\system32\ieaksie.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 153088 c:\windows\system32\ieakeng.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 153088 c:\windows\system32\ieakeng.dll
+ 2006-10-25 12:23 . 2010-05-04 17:17 133120 c:\windows\system32\extmgr.dll
- 2006-10-25 12:23 . 2010-03-11 12:34 133120 c:\windows\system32\extmgr.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 214528 c:\windows\system32\dxtrans.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 214528 c:\windows\system32\dxtrans.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 347136 c:\windows\system32\dxtmsft.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 347136 c:\windows\system32\dxtmsft.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 832512 c:\windows\system32\dllcache\wininet.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 832512 c:\windows\system32\dllcache\wininet.dll
+ 2007-08-13 16:54 . 2010-05-04 17:17 233472 c:\windows\system32\dllcache\webcheck.dll
- 2007-08-13 16:54 . 2010-03-11 12:34 233472 c:\windows\system32\dllcache\webcheck.dll
+ 2007-08-13 16:44 . 2010-05-04 17:17 105984 c:\windows\system32\dllcache\url.dll
- 2007-08-13 16:44 . 2010-03-11 12:34 105984 c:\windows\system32\dllcache\url.dll
- 2007-08-13 16:44 . 2010-03-11 12:34 102912 c:\windows\system32\dllcache\occache.dll
+ 2007-08-13 16:44 . 2010-05-04 17:17 102912 c:\windows\system32\dllcache\occache.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 671232 c:\windows\system32\dllcache\mstime.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 671232 c:\windows\system32\dllcache\mstime.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 193024 c:\windows\system32\dllcache\msrating.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 193024 c:\windows\system32\dllcache\msrating.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 477696 c:\windows\system32\dllcache\mshtmled.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 477696 c:\windows\system32\dllcache\mshtmled.dll
- 2007-10-24 16:19 . 2010-03-11 12:34 459264 c:\windows\system32\dllcache\msfeeds.dll
+ 2007-10-24 16:19 . 2010-05-04 17:17 459264 c:\windows\system32\dllcache\msfeeds.dll
+ 2007-08-13 16:43 . 2010-04-16 11:43 634656 c:\windows\system32\dllcache\iexplore.exe
- 2007-10-24 16:19 . 2010-03-11 12:34 268288 c:\windows\system32\dllcache\iertutil.dll
+ 2007-10-24 16:19 . 2010-05-04 17:17 268288 c:\windows\system32\dllcache\iertutil.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 192512 c:\windows\system32\dllcache\iepeers.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 192512 c:\windows\system32\dllcache\iepeers.dll
- 2007-08-13 16:39 . 2010-03-11 12:34 385024 c:\windows\system32\dllcache\iedkcs32.dll
+ 2007-08-13 16:39 . 2010-05-04 17:17 385024 c:\windows\system32\dllcache\iedkcs32.dll
- 2007-10-24 16:19 . 2010-03-11 12:34 380928 c:\windows\system32\dllcache\ieapfltr.dll
+ 2007-10-24 16:19 . 2010-05-04 17:17 380928 c:\windows\system32\dllcache\ieapfltr.dll
+ 2001-08-28 12:00 . 2010-04-16 11:43 161792 c:\windows\system32\dllcache\ieakui.dll
- 2001-08-28 12:00 . 2010-02-23 05:18 161792 c:\windows\system32\dllcache\ieakui.dll
+ 2007-08-13 16:39 . 2010-05-04 17:17 230400 c:\windows\system32\dllcache\ieaksie.dll
- 2007-08-13 16:39 . 2010-03-11 12:34 230400 c:\windows\system32\dllcache\ieaksie.dll
+ 2007-08-13 16:39 . 2010-05-04 17:17 153088 c:\windows\system32\dllcache\ieakeng.dll
- 2007-08-13 16:39 . 2010-03-11 12:34 153088 c:\windows\system32\dllcache\ieakeng.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 133120 c:\windows\system32\dllcache\extmgr.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 133120 c:\windows\system32\dllcache\extmgr.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 214528 c:\windows\system32\dllcache\dxtrans.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 214528 c:\windows\system32\dllcache\dxtrans.dll
+ 2006-06-23 11:11 . 2010-05-04 17:17 347136 c:\windows\system32\dllcache\dxtmsft.dll
- 2006-06-23 11:11 . 2010-03-11 12:34 347136 c:\windows\system32\dllcache\dxtmsft.dll
- 2007-08-13 16:39 . 2010-03-11 12:34 124928 c:\windows\system32\dllcache\advpack.dll
+ 2007-08-13 16:39 . 2010-05-04 17:17 124928 c:\windows\system32\dllcache\advpack.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 124928 c:\windows\system32\advpack.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 124928 c:\windows\system32\advpack.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 839680 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.Web.Services.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 835584 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.Web.Mobile.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 188416 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.DirectoryServices.Protocols.dll
+ 2012-07-26 14:28 . 2008-07-25 09:16 507904 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\AspNetMMCExt.dll
+ 2010-02-24 22:14 . 2010-02-24 22:14 543232 c:\windows\Installer\127bfe.msp
+ 2012-07-26 14:17 . 2010-03-11 12:34 832512 c:\windows\ie7updates\KB982381-IE7\wininet.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 233472 c:\windows\ie7updates\KB982381-IE7\webcheck.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 105984 c:\windows\ie7updates\KB982381-IE7\url.dll
+ 2012-07-26 14:18 . 2009-05-26 11:40 406392 c:\windows\ie7updates\KB982381-IE7\spuninst\updspapi.dll
+ 2012-07-26 14:18 . 2008-07-08 13:03 234872 c:\windows\ie7updates\KB982381-IE7\spuninst\spuninst.exe
+ 2012-07-26 14:17 . 2010-03-11 12:34 102912 c:\windows\ie7updates\KB982381-IE7\occache.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 671232 c:\windows\ie7updates\KB982381-IE7\mstime.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 193024 c:\windows\ie7updates\KB982381-IE7\msrating.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 477696 c:\windows\ie7updates\KB982381-IE7\mshtmled.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 459264 c:\windows\ie7updates\KB982381-IE7\msfeeds.dll
+ 2012-07-26 14:18 . 2010-02-23 05:20 634648 c:\windows\ie7updates\KB982381-IE7\iexplore.exe
+ 2012-07-26 14:17 . 2010-03-11 12:34 268288 c:\windows\ie7updates\KB982381-IE7\iertutil.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 192512 c:\windows\ie7updates\KB982381-IE7\iepeers.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 385024 c:\windows\ie7updates\KB982381-IE7\iedkcs32.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 380928 c:\windows\ie7updates\KB982381-IE7\ieapfltr.dll
+ 2012-07-26 14:18 . 2010-02-23 05:18 161792 c:\windows\ie7updates\KB982381-IE7\ieakui.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 230400 c:\windows\ie7updates\KB982381-IE7\ieaksie.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 153088 c:\windows\ie7updates\KB982381-IE7\ieakeng.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 133120 c:\windows\ie7updates\KB982381-IE7\extmgr.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 214528 c:\windows\ie7updates\KB982381-IE7\dxtrans.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 347136 c:\windows\ie7updates\KB982381-IE7\dxtmsft.dll
+ 2012-07-26 14:18 . 2010-03-11 12:34 124928 c:\windows\ie7updates\KB982381-IE7\advpack.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 1168384 c:\windows\system32\urlmon.dll
- 2001-08-28 12:00 . 2010-03-11 12:34 1168384 c:\windows\system32\urlmon.dll
+ 2001-08-28 12:00 . 2010-05-04 17:17 3600384 c:\windows\system32\mshtml.dll
- 2007-08-13 16:54 . 2010-03-11 12:34 6067200 c:\windows\system32\ieframe.dll
+ 2007-08-13 16:54 . 2010-05-04 17:17 6067200 c:\windows\system32\ieframe.dll
- 2006-07-25 20:41 . 2010-03-11 12:34 1168384 c:\windows\system32\dllcache\urlmon.dll
+ 2006-07-25 20:41 . 2010-05-04 17:17 1168384 c:\windows\system32\dllcache\urlmon.dll
+ 2006-07-28 11:28 . 2010-05-04 17:17 3600384 c:\windows\system32\dllcache\mshtml.dll
+ 2007-10-24 16:19 . 2010-05-04 17:17 6067200 c:\windows\system32\dllcache\ieframe.dll
- 2007-10-24 16:19 . 2010-03-11 12:34 6067200 c:\windows\system32\dllcache\ieframe.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 5025792 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.Windows.Forms.dll
+ 2012-07-26 14:27 . 2008-11-25 02:59 5242880 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.Web.dll
+ 2012-07-26 14:28 . 2008-07-25 09:17 5062656 c:\windows\Microsoft.NET\Framework\v2.0.50727\GAC19301\System.Design.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 1168384 c:\windows\ie7updates\KB982381-IE7\urlmon.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 3599872 c:\windows\ie7updates\KB982381-IE7\mshtml.dll
+ 2012-07-26 14:17 . 2010-03-11 12:34 6067200 c:\windows\ie7updates\KB982381-IE7\ieframe.dll
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-24 3309568]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-07-03 4273976]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"AdobeAAMUpdater-1.0"="c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
"SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files\Fichiers communs\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [18/07/2012 20:33 721000]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/07/2012 20:12 353688]
R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [25/10/2007 11:24 6336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/07/2012 20:12 21256]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [17/07/2012 23:19 655944]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [24/07/2012 21:16 2789672]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [17/07/2012 23:19 22344]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [24/07/2012 21:17 15656]
S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [25/10/2007 11:24 13344]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [20/07/2012 20:28 113120]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [05/07/2008 20:25 31547]
S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 13:37 517096]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-26 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-07-18 16:21]
.
2012-07-26 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-30 21:18]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{0B670054-4B5A-4C6D-B3B2-2B665AED02E1}: NameServer = 80.10.246.3,80.10.246.130
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\6k251cpm.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.be/
FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7Bbf ... &sap=ku&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-26 16:51
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SEAGATE_ rev.DS09 -> Harddisk0\DR0 -> \Device\Scsi\symmpi2Port2Path0Target1Lun0
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
sectors 71132957 (+255): user != kernel
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2472)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\spkrmon.exe
c:\windows\system32\WTablet\Wacom_TabletUser.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2012-07-26 16:55:18 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-26 14:55
ComboFix2.txt 2012-07-24 22:07
ComboFix3.txt 2012-07-19 17:45
.
Avant-CF: 20 551 057 408 octets libres
Après-CF: 20 617 814 016 octets libres
.
- - End Of File - - D40DD1130907A28CB8E4E9EAF4ED67E1

par **Malekal_morte** » 26 Juil 2012 17:14

Dernier essai avec Combofix.
Si ça passe pas, on fera par CD Live.

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

FCOPY::
c:\windows\ServicePackFiles\i386\explorer.exe | c:\windows\explorer.exe
c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe | c:\windows\system32\winlogon.exe
file::
c:\windows\ServicePackFiles\i386\winlogon.exe

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

par **loub** » 26 Juil 2012 18:07

ComboFix 12-07-27.02 - user 26/07/2012 17:48:01.4.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1535.1072 [GMT 2:00]
Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\user\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\windows\ServicePackFiles\i386\winlogon.exe"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\docume~1\user\LOCALS~1\Temp\winlogon.dat
c:\documents and settings\user\Local Settings\Temp\winlogon.dat
c:\windows\ServicePackFiles\i386\winlogon.exe
c:\windows\system32\OLD32.tmp
.
Une copie infectée de c:\windows\system32\samsrv.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\samsrv.dll
.
.
--------------- FCopy ---------------
.
c:\windows\ServicePackFiles\i386\explorer.exe --> c:\windows\explorer.exe
c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe --> c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-06-26 au 2012-07-26 ))))))))))))))))))))))))))))))))))))
.
.
2012-07-24 20:30 . 2012-07-24 20:30 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2012-07-24 20:18 . 2012-07-26 15:59 -------- d-----w- c:\documents and settings\user\Application Data\WTablet
2012-07-24 20:10 . 2012-07-24 20:11 -------- d---a-w- c:\program files\PhotoshopPortableCS4
2012-07-24 19:59 . 2012-07-24 19:59 -------- d-----w- c:\documents and settings\All Users\Application Data\regid.1986-12.com.adobe
2012-07-24 19:18 . 2012-07-24 19:18 -------- d-----w- C:\WTablet
2012-07-24 19:18 . 2009-03-26 14:38 6561064 ----a-w- c:\windows\system32\WacomTablet.cpl
2012-07-24 19:17 . 2007-02-15 14:11 11440 ----a-w- c:\windows\system32\drivers\WacomVKHid.sys
2012-07-24 19:17 . 2008-07-11 09:16 13352 ----a-w- c:\windows\system32\drivers\wacomvhid.sys
2012-07-24 19:17 . 2007-02-16 09:12 11312 ----a-w- c:\windows\system32\drivers\wacommousefilter.sys
2012-07-24 19:17 . 2008-10-06 09:53 15656 ----a-w- c:\windows\system32\drivers\wacmoumonitor.sys
2012-07-24 19:17 . 2012-07-24 19:17 -------- d-----w- c:\windows\system32\WTablet
2012-07-24 19:16 . 2009-03-26 15:15 2789672 ----a-w- c:\windows\system32\Wacom_Tablet.exe
2012-07-24 19:16 . 2009-03-26 14:40 213288 ----a-w- c:\windows\system32\Wacom_Tablet.dll
2012-07-24 19:16 . 2009-03-26 14:10 172840 ----a-w- c:\windows\system32\Wintab32.dll
2012-07-24 19:16 . 2012-07-24 19:18 -------- d-----w- c:\program files\Tablet
2012-07-24 18:37 . 2012-07-24 19:40 -------- d-----w- c:\documents and settings\user\Adobe Photoshop CS6
2012-07-24 18:36 . 2012-07-24 18:36 -------- d-----w- c:\program files\Adobe Download Assistant
2012-07-24 14:46 . 2012-07-24 14:46 -------- d-----w- c:\documents and settings\user\Application Data\com.adobe.downloadassistant.AdobeDownloadAssistant
2012-07-24 14:46 . 2012-07-24 14:46 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2012-07-24 14:24 . 2012-07-24 14:41 -------- d-----w- C:\TDSSKiller_Quarantine
2012-07-24 14:04 . 2012-07-24 19:55 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-07-24 14:04 . 2012-07-24 20:50 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Adobe
2012-07-20 18:28 . 2012-07-20 18:28 -------- d-----w- c:\program files\Mozilla Maintenance Service
2012-07-20 18:28 . 2012-07-14 00:15 136672 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- C:\ZHP
2012-07-19 14:10 . 2012-07-19 15:44 -------- d-----w- c:\program files\ZHPDiag
2012-07-18 18:33 . 2012-07-03 16:21 721000 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-07-18 18:31 . 2012-07-03 16:21 41224 ----a-w- c:\windows\avastSS.scr
2012-07-18 18:29 . 2012-07-18 18:29 -------- d-----w- c:\program files\AVAST Software
2012-07-18 18:28 . 2012-07-18 18:29 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2012-07-18 18:12 . 2012-07-03 16:21 35928 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-07-18 18:12 . 2012-07-03 16:21 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-07-18 18:12 . 2012-07-03 16:21 25256 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-07-18 18:12 . 2012-07-03 16:21 97608 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-07-18 18:12 . 2012-07-03 16:21 89624 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-07-18 18:12 . 2012-07-03 16:21 353688 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-07-18 18:12 . 2012-07-03 16:21 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-07-18 18:11 . 2012-07-03 16:21 227648 ----a-w- c:\windows\system32\aswBoot.exe
2012-07-18 18:11 . 2004-01-09 09:13 380928 ----a-w- c:\windows\system32\actskin4.ocx
2012-07-18 14:24 . 2012-07-18 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012
2012-07-18 14:09 . 2012-07-24 18:27 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Temp
2012-07-18 14:03 . 2012-07-18 18:16 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData
2012-07-18 04:49 . 2012-07-18 04:49 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files
2012-07-17 21:19 . 2012-07-17 21:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-17 21:19 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-17 21:07 . 2012-07-17 21:07 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-24 14:42 . 2001-08-28 12:00 66560 ----a-w- c:\windows\system32\drivers\serial.sys
2012-07-14 00:15 . 2012-07-20 18:28 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot_2012-07-26_14.51.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2001-08-28 12:00 . 2004-08-19 14:10 506368 c:\windows\system32\dllcache\winlogon.exe
+ 2001-08-28 12:00 . 2004-08-19 14:09 1036288 c:\windows\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-07-03 16:21 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-24 3309568]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-07-03 4273976]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
"AdobeAAMUpdater-1.0"="c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2012-04-04 446392]
"SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS6ServiceManager"="c:\program files\Fichiers communs\Adobe\CS6ServiceManager\CS6ServiceManager.exe" [2012-03-09 1073312]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [18/07/2012 20:33 721000]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/07/2012 20:12 353688]
R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [25/10/2007 11:24 6336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/07/2012 20:12 21256]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [17/07/2012 23:19 655944]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [24/07/2012 21:16 2789672]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [17/07/2012 23:19 22344]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [24/07/2012 21:17 15656]
S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [25/10/2007 11:24 13344]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [20/07/2012 20:28 113120]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [05/07/2008 20:25 31547]
S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 13:37 517096]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-26 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2012-07-18 16:21]
.
2012-07-26 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-10-30 21:18]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{0B670054-4B5A-4C6D-B3B2-2B665AED02E1}: NameServer = 80.10.246.3,80.10.246.130
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\6k251cpm.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.be/
FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7Bbf ... &sap=ku&q=
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-26 18:00
Windows 5.1.2600 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SEAGATE_ rev.DS09 -> Harddisk0\DR0 -> \Device\Scsi\symmpi2Port2Path0Target1Lun0
.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user != kernel MBR !!!
sectors 71132957 (+255): user != kernel
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:b4,20,b0,a5,89,7a,39,03,b5,3c,6c,51,58,fe,cc,77,49,be,60,e7,af,
88,0f,a2,b0,58,4f,fa,09,a4,10,7c,68,72,59,1f,e6,70,93,f9,32,95,4b,b2,31,6e,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(4084)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\spkrmon.exe
c:\windows\system32\WTablet\Wacom_TabletUser.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2012-07-26 18:03:54 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-07-26 16:03
ComboFix2.txt 2012-07-26 14:55
ComboFix3.txt 2012-07-24 22:07
ComboFix4.txt 2012-07-19 17:45
.
Avant-CF: 20 658 651 136 octets libres
Après-CF: 20 637 294 592 octets libres
.
- - End Of File - - A9E2B38FAA8756FE45C4A39F73AE532E

par **angelique** » 26 Juil 2012 19:04

Fait le en livecd voir virus-gendarmerie-nationale-t35091.html#p271704

par **loub** » 26 Juil 2012 21:54

Le virus est toujours là? j'ai fait plusieurs scans, ils ne détectent plus de problème. Avast ne m'envoie plus de message aussi? Je crois que j'y ai cru trop vite :(

par **Malekal_morte** » 26 Juil 2012 22:36

refais un scan Combofix pour confirmer.

Malekal's forum

rootkit - gmer ne le détecte pas

rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Re: rootkit - gmer ne le détecte pas

Qui est en ligne