[TR\Vilsel.aejm] et Your protection

aolantuo · par **aolantuo** » 19 mai 2010 23:17

Bonjour,
Le forum d'Avira AntiVir, mon antivirus, m'a redirigé vers vous.

En bref, j'avais eu un rogue (Your protection) que j'avais éliminé, en sauvegardant des données sur mon disque dur portable. Récemment, en reconnectant le disque dur (que j'avais plusieurs fois scanné et nettoyé) ou ma clé USB, j'ai eu une série de virus.

J'ai nettoyé l'ordinateur de lui-même, puis avec le rescue CD d'Avira. Le problème est que le virus semble se regénerer après chaque mise en quarantaine. Plus précisément, après redémarrage de l'ordinateur et quelques minutes j'ai message d'alerte de ce type qui apparaît:
"le fichier C:\SystemVolumeInformation\restore{d5ffa500b1b}\smss.exe ou svchost.exe contient le cheval de Troie TR/Vilsel.aejm."
La touche "ok" est minutée, sauf si je change l'action à faire. Je me dépêche à mettre en quarantaine, mais chaque 50 secondes environ, le message réapparaît. Après un peu, je mets en quarataine et je coche la case pour mémoriser l'action à faire en cas de détection de ce fichier.

La désinfection en mode sans échec a trouvé et mis en quarantaine: TR/Pincav.aacr. Mais le problème persiste!

De plus, j'ai de temps en temps des adwares ouverts avec Explorer 8 (j'utilise Chrome). En regardant le gestionnaire de tâches, j'ai beaucoup (trop) de processus en train de tourner, dont au moins 12 svchost.exe. (rkill en arrête plusieurs, et juste après AntiVir Guard redétecte du TR/Vilsel.aejm). Autre information: avant j'avais des messages d'erreur windows du genre:

C:\DOCUME~1\JO~1\LOCAL~1\Temp\396.exe
Le processeur NTVDM a rencontré une instruction non autorisée
CS:0 fa3 IP:021 e OP: 63756d656e
Choisissez fermer pour mettre fin à l'application

Maintenant, à chaque démarrage, le dossier mes documents s'ouvre tout seul.

Que puis-je faire pour nettoyer définitivement mon ordinateur?

Merci d'avance de votre réponse!

Aolantuo

par **Malekal_morte** » 20 mai 2010 11:36

Salut,

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

aolantuo · par **aolantuo** » 21 mai 2010 15:14

Salut,

J'ai utilisé Combofix. Avant de poster le rapport je voulais vous informer (on se sait jamais)que:
-l'ordinateur a redémarré deux fois pendant combofix. J'ai désactivé alors Antivir guard au plus vite
-après le deuxième redémarrage, j'ai eu message en même temps que Combofix préparait son rapport, que je n'ai pas ouvert, et qui est toujours là: internet explorer n'est pas votre navigateur par défaut. Voulez-vous en faire votre navigateur par défaut?

Voilà le rapport:

ComboFix 10-05-20.A1 - Joël 21/05/2010 14:42:58.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.603 [GMT 2:00]
Lancé depuis: c:\documents and settings\Joël\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\JOL~1\LOCALS~1\Temp\install_flash_player.exe
c:\documents and settings\All Users.\documents\settings
c:\documents and settings\All Users.\documents\settings\cbss.dll
c:\documents and settings\All Users\Documents\Settings\cbss.dll
c:\documents and settings\Joël\Application Data\Microsoft\geme.exe
c:\documents and settings\Joël\Application Data\Microsoft\hapopyk.exe
c:\documents and settings\Joël\Application Data\Microsoft\retuwur.exe
c:\documents and settings\Joël\Application Data\Microsoft\wukoboor.exe
c:\documents and settings\LocalService\Application Data\Microsoft\retuwur.exe
c:\windows\system32\drivers\twtkpafb.sys

c:\windows\system32\grpconv.exe était absent
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\grpconv.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_lrbue
-------\Legacy_ulzyk9ytael5
-------\Service_lrbue
-------\Service_ulzyk9ytael5

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-21 au 2010-05-21 ))))))))))))))))))))))))))))))))))))
.

2010-05-21 12:47 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-21 12:47 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-21 10:51 . 2010-05-14 12:45 329728 ----a-w- c:\windows\system32\retuwur.exe
2010-05-19 18:06 . 2010-05-19 18:06 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-18 18:30 . 2010-05-18 18:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Bluetooth
2010-05-18 18:28 . 2010-05-18 18:28 -------- d-----w- c:\program files\IVT Corporation
2010-05-18 13:53 . 2010-05-18 13:53 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\program files\iTunes
2010-05-16 23:08 . 2010-05-16 23:09 -------- d-----w- c:\program files\Apple Software Update
2010-05-16 23:08 . 2010-05-16 23:08 -------- d-----w- c:\program files\Bonjour
2010-05-16 23:07 . 2010-05-16 23:12 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-05-16 23:07 . 2010-05-16 23:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-05-16 22:39 . 2010-05-16 23:10 -------- d-----w- c:\program files\QuickTime
2010-05-16 22:37 . 2010-05-16 23:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-05-16 22:36 . 2004-12-18 18:32 38229 ------w- c:\windows\system32\drivers\StMp3Rec.sys
2010-05-16 22:36 . 2010-05-16 23:12 -------- d-----w- c:\program files\iPod
2010-05-16 22:33 . 2010-05-16 22:36 -------- d-----w- c:\windows\Downloaded Installations
2010-05-16 11:04 . 2010-05-16 11:04 -------- d-----w- C:\watcom-1.3
2010-05-16 11:04 . 2010-05-16 11:04 36864 ----a-w- c:\windows\system32\maplec.dll
2010-05-16 11:04 . 2010-05-16 11:04 155648 ----a-w- c:\windows\system32\WMIMPLEX.dll
2010-05-16 11:03 . 2010-05-16 11:04 -------- d-----w- c:\program files\Maple 10
2010-05-16 11:01 . 2010-05-16 11:04 -------- d--h--w- c:\program files\Zero G Registry
2010-05-15 19:59 . 2010-05-21 12:49 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData
2010-05-14 22:23 . 2010-05-14 22:23 -------- d-----w- c:\windows\system32\LogFiles
2010-05-14 16:29 . 2010-05-15 12:23 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-05-13 20:16 . 2010-05-13 20:16 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-05-09 23:02 . 2010-05-09 23:02 858080 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-05-03 18:48 . 2010-05-03 18:49 23797 ----a-w- c:\windows\hpqins15.dat
2010-05-03 18:42 . 2010-05-03 18:42 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-05-03 18:39 . 2010-05-03 18:43 78334 ----a-w- c:\windows\hpqins05.dat
2010-05-02 18:35 . 2010-05-02 18:35 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-05-02 18:17 . 2010-05-02 18:17 -------- d-----w- c:\program files\Adobe Media Player
2010-05-02 18:15 . 2010-05-02 18:15 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-05-02 18:09 . 2010-05-02 18:09 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-05-01 21:03 . 2010-05-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\WEBREG
2010-05-01 20:58 . 2010-05-03 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2010-05-01 20:57 . 2008-10-23 18:34 16496 ----a-r- c:\windows\system32\drivers\hpzipr12.sys
2010-05-01 20:56 . 2008-10-24 09:48 118272 ----a-w- c:\windows\system32\hpz3l696.dll
2010-05-01 20:56 . 2008-10-24 09:48 321536 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\hpzpp696.dll
2010-05-01 20:56 . 2008-10-23 18:35 271704 ----a-r- c:\windows\system32\hpzids01.dll
2010-05-01 20:56 . 2008-10-23 18:34 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2010-05-01 20:56 . 2008-10-23 18:34 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2010-05-01 20:56 . 2008-10-23 18:34 309760 ----a-r- c:\windows\system32\difxapi.dll
2010-05-01 20:56 . 2008-10-23 18:34 737280 ----a-r- c:\windows\system32\hposwia_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 974848 ----a-r- c:\windows\system32\hpost_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 307200 ----a-r- c:\windows\system32\hposc_p01a.dll
2010-05-01 19:44 . 2010-05-16 23:13 -------- dc----w- c:\windows\system32\DRVSTORE
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\HP
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Hewlett-Packard
2010-05-01 19:43 . 2010-05-01 21:01 -------- d-----w- c:\program files\HP
2010-05-01 19:42 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-05-01 19:35 . 2010-05-01 21:11 167493 ----a-w- c:\windows\hpoins30.dat
2010-05-01 19:35 . 2008-12-05 02:52 547 ------w- c:\windows\hpomdl30.dat
2010-04-28 21:56 . 2010-04-28 21:56 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-04-27 23:37 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-04-27 23:37 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 18:07 . 2006-02-23 15:56 -------- d-----w- c:\program files\Fichiers communs\Java
2010-05-19 18:06 . 2006-02-23 15:56 -------- d-----w- c:\program files\Java
2010-05-16 22:45 . 2006-02-23 12:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-16 11:12 . 2010-04-17 11:38 -------- d-----w- c:\program files\uTorrent
2010-05-14 12:47 . 2010-04-12 13:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-14 12:46 . 2006-02-23 02:15 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-13 20:05 . 2006-02-23 02:15 1037824 ----a-w- c:\windows\explorer.exe
2010-05-11 23:09 . 2010-04-14 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-02 19:10 . 2006-02-23 16:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Adobe-BackupByPhotoshopPortable
2010-05-02 18:24 . 2006-02-23 16:00 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-29 13:39 . 2010-04-12 13:00 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-12 13:00 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 21:51 . 2010-04-14 19:04 -------- d-----w- c:\program files\Microsoft Works
2010-04-28 13:45 . 2010-04-28 13:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-24 19:07 . 2006-02-23 02:15 97006 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-24 19:07 . 2006-02-23 02:15 536072 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-19 20:01 . 2006-02-23 16:11 -------- d-----w- c:\program files\Google
2010-04-18 15:18 . 2010-04-14 07:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2010-04-17 11:52 . 2010-04-17 11:52 -------- d-----w- c:\program files\VideoLAN
2010-04-14 19:02 . 2010-04-14 19:02 -------- d-----w- c:\program files\Microsoft.NET
2010-04-14 08:12 . 2010-04-14 07:46 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2010-04-14 08:11 . 2010-04-14 07:58 -------- d-----w- c:\program files\AutoCAD Architecture 2009
2010-04-14 08:05 . 2010-04-14 08:05 -------- d-----w- c:\program files\Common Files
2010-04-14 07:55 . 2010-04-14 07:55 -------- d-----w- c:\program files\MSBuild
2010-04-14 07:51 . 2010-04-14 07:51 -------- d-----w- c:\program files\Reference Assemblies
2010-04-14 07:46 . 2010-04-14 07:46 -------- d-----w- c:\program files\Autodesk
2010-04-14 07:20 . 2010-04-14 07:20 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-14 07:20 . 2010-04-14 07:20 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-14 07:18 . 2010-04-14 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-12 17:05 . 2006-02-23 10:28 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-12 16:50 . 2010-04-11 19:16 -------- d-----w- c:\program files\GDS
2010-04-12 13:00 . 2010-04-12 13:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-11 20:32 . 2010-04-11 20:32 -------- d-----w- c:\program files\MSXML 4.0
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Norton Ghost
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Symantec
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Skype
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\program files\AOL 9.0
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\AOL
2010-04-11 19:17 . 2010-04-11 17:50 -------- d-----w- c:\program files\Fichiers communs\AOL
2010-04-11 19:15 . 2006-02-23 15:57 -------- d-----w- c:\program files\Sony
2010-04-11 17:50 . 2010-04-11 17:50 335 ----a-w- c:\windows\nsreg.dat
2010-04-11 17:33 . 2010-04-11 17:13 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\program files\Avira
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-04-11 14:36 . 2006-02-23 16:14 10344 ----a-w- c:\windows\system32\drivers\symlcbrd.sys
2010-04-11 14:30 . 2006-02-23 15:54 -------- d-----w- c:\program files\Fichiers communs\Sony Shared
2010-04-11 14:29 . 2010-04-11 14:29 -------- d-----w- c:\program files\Microsoft SQL Server
2010-04-11 14:27 . 2010-04-11 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\VAIO Media Platform
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Roxio
2010-04-11 14:19 . 2010-04-11 14:19 0 ---ha-r- c:\windows\system32\drivers\Sony_VGN-FS515B.mrk
2010-04-11 14:19 . 2010-04-11 14:19 -------- d-----w- c:\program files\Raccourcis de programmes
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-03-10 06:16 . 2006-02-23 02:15 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-02-23 02:15 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-02-23 02:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Joël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-11 136176]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"pojou"="c:\documents and settings\Joël\Application Data\Microsoft\retuwur.exe" [2010-05-14 329728]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"pojou"="c:\documents and settings\Joël\Application Data\Microsoft\retuwur.exe" [2010-05-14 329728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-05 114688]
"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIO Update 2"="c:\program files\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"PDService.exe"="c:\program files\Utimaco\SafeGuard PrivateDisk\pdservice.exe" [2004-07-06 40960]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-01-26 52848]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 14720000]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2007-04-10 1537640]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/04/2010 09:20 691696]
R1 PrivateDisk;PrivateDisk;c:\windows\system32\drivers\privatediskm.sys [06/07/2004 15:07 45627]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/04/2010 19:13 108289]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
S2 a8ulipa587;Blue Coat K9 Web Protection;c:\documents and settings\Joël\Application Data\Microsoft\bupydiw.exe [21/05/2010 14:52 329728]
S2 bzcppixypxame;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys [?]
S2 dehuqw;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys [?]
S2 doihrll;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys [?]
S2 dqetglqdjkqna;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys [?]
S2 dtkivk;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys [?]
S2 HPZipr12q;HPZipr12q;\??\c:\windows\System32\DRIVERS\HPZipr12q.sys --> c:\windows\System32\DRIVERS\HPZipr12q.sys [?]
S2 hvduz;\??\C;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys [?]
S2 qcormd;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys [?]
S2 rxtlkhztkwohqgx;\??\c:\docume~1;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys [?]
S2 swfprmspsyoh;\??\c:\docum;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys [?]
S2 xmkacdy;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys [?]
S2 yfopiuyyd;\??\c:\do;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys [?]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.club-vaio.com/fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.club-vaio.com/fr/
uInternet Settings,ProxyOverride = *.local
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-AdobeBridge - (no file)
HKCU-Run-hddojz - c:\windows\system32\a9bg3stjzp.exe
HKCU-Run-djkf1 - c:\windows\system32\m6i875vl.exe
HKCU-Run-vounnur - c:\documents and settings\Joël\Application Data\Microsoft\zoojoufa.exe
HKCU-Run-pqvwrhi - c:\windows\system32\81a3mhn.exe
HKCU-Run-dyopvf0 - c:\windows\system32\ssjz20l3m.exe
HKLM-Run-Malwarebytes Anti-Malware (rootkit-scan) - c:\program files\Malwarebytes' Anti-Malware\Erbr1Ut0E.exe
HKLM-Run-vounnur - c:\windows\system32\zoojoufa.exe
HKLM-Run-pojou - c:\windows\system32\retuwur.exe
SafeBoot-klmdb.sys

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 14:54
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sprp.sys >>UNKNOWN [0x8658A938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7620f28
\Driver\ACPI -> ACPI.sys @ 0xf7387cb8
\Driver\atapi -> atapi.sys @ 0xf7324b40
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7229bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7236a21
SendHandler -> NDIS.sys @ 0xf721487b

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\VESWinlogon.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(3176)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\program files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\GEARSec.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\ICO.EXE
c:\program files\Apoint\Apntex.exe
c:\windows\RTHDCPL.EXE
c:\documents and settings\Joël\Application Data\Microsoft\hapopyk.exe
c:\documents and settings\Joël\Application Data\Microsoft\hapopyk.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-21 14:59:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-21 12:59

Avant-CF: 29 103 374 336 octets libres
Après-CF: 29 294 309 376 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 6CD08BC29012FE4A5F0B3A0F5FB70F43

Merci!

Aolantuo

par **Malekal_morte** » 21 mai 2010 18:16

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

driver::
a8ulipa587
file::
c:\documents and settings\Joël\Application Data\Microsoft\hapopyk.exe
c:\documents and settings\Joël\Application Data\Microsoft\retuwur.exe
c:\documents and settings\Joël\Application Data\Microsoft\bupydiw.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pojou"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"pojou"=-

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

~~

Zip le dossier C:\qoobox
Envoie le zip sur http://upload.malekal.com

~~

- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -

aolantuo · par **aolantuo** » 22 mai 2010 13:33

Salut,

Mon ordinateur semble se porter comme après le combofix précédent: internet explorer veut toujours démarrer (une icône est sur le bureau, et le message est toujours là), et j'ai eu les mêmes histoires de redémarrage de l'ordinateur avec moi qui me dépêche à désactiver AntiVirGuard. Une chose que je n'avais pas dite pour le dernier scan: mon centre de sécurité windows s'affiche dans la barre des tâches et m'avertit que AntiVir est désactivé (normal, vu que je l'ai désactivé), alors qu'avant Combofix, mon centre de sécurité windows ("alertes de sécurité windows") ne donnait aucun signe de vie.
Pour l'instant je n'ai pas trop de soucis (ou plutôt je ne les vois pas) sauf que si je regarde les processus actifs, il y en a toujours beaucoup, dont douze svchost.exe .

Voici le rapport de Combofix:

ComboFix 10-05-21.06 - Joël 22/05/2010 12:54:28.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.516 [GMT 2:00]
Lancé depuis: c:\documents and settings\Joël\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Joël\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

FILE ::
"c:\documents and settings\Joël\Application Data\Microsoft\bupydiw.exe"
"c:\documents and settings\Joël\Application Data\Microsoft\hapopyk.exe"
"c:\documents and settings\Joël\Application Data\Microsoft\retuwur.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Joël\Application Data\Microsoft\bupydiw.exe
c:\documents and settings\Joël\Application Data\Microsoft\hapopyk.exe
c:\documents and settings\Joël\Application Data\Microsoft\retuwur.exe
c:\system volume information\_restore{d5fffa500b1b}
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_A8ULIPA587
-------\Service_a8ulipa587

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-22 au 2010-05-22 ))))))))))))))))))))))))))))))))))))
.

2010-05-21 12:47 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-21 12:47 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-19 18:06 . 2010-05-19 18:06 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-18 18:30 . 2010-05-18 18:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Bluetooth
2010-05-18 18:28 . 2010-05-18 18:28 -------- d-----w- c:\program files\IVT Corporation
2010-05-18 13:53 . 2010-05-18 13:53 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\program files\iTunes
2010-05-16 23:08 . 2010-05-16 23:09 -------- d-----w- c:\program files\Apple Software Update
2010-05-16 23:08 . 2010-05-16 23:08 -------- d-----w- c:\program files\Bonjour
2010-05-16 23:07 . 2010-05-16 23:12 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-05-16 23:07 . 2010-05-16 23:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-05-16 22:39 . 2010-05-16 23:10 -------- d-----w- c:\program files\QuickTime
2010-05-16 22:37 . 2010-05-16 23:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-05-16 22:36 . 2004-12-18 18:32 38229 ------w- c:\windows\system32\drivers\StMp3Rec.sys
2010-05-16 22:36 . 2010-05-16 23:12 -------- d-----w- c:\program files\iPod
2010-05-16 22:33 . 2010-05-16 22:36 -------- d-----w- c:\windows\Downloaded Installations
2010-05-16 11:04 . 2010-05-16 11:04 -------- d-----w- C:\watcom-1.3
2010-05-16 11:04 . 2010-05-16 11:04 36864 ----a-w- c:\windows\system32\maplec.dll
2010-05-16 11:04 . 2010-05-16 11:04 155648 ----a-w- c:\windows\system32\WMIMPLEX.dll
2010-05-16 11:03 . 2010-05-16 11:04 -------- d-----w- c:\program files\Maple 10
2010-05-16 11:01 . 2010-05-16 11:04 -------- d--h--w- c:\program files\Zero G Registry
2010-05-15 19:59 . 2010-05-22 10:56 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData
2010-05-14 22:23 . 2010-05-14 22:23 -------- d-----w- c:\windows\system32\LogFiles
2010-05-14 16:29 . 2010-05-15 12:23 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-05-13 20:16 . 2010-05-13 20:16 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-05-09 23:02 . 2010-05-22 10:44 1103728 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-05-03 18:48 . 2010-05-03 18:49 23797 ----a-w- c:\windows\hpqins15.dat
2010-05-03 18:42 . 2010-05-03 18:42 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-05-03 18:39 . 2010-05-03 18:43 78334 ----a-w- c:\windows\hpqins05.dat
2010-05-02 18:35 . 2010-05-02 18:35 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-05-02 18:17 . 2010-05-02 18:17 -------- d-----w- c:\program files\Adobe Media Player
2010-05-02 18:15 . 2010-05-02 18:15 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-05-02 18:09 . 2010-05-02 18:09 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-05-01 21:03 . 2010-05-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\WEBREG
2010-05-01 20:58 . 2010-05-03 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2010-05-01 20:57 . 2008-10-23 18:34 16496 ----a-r- c:\windows\system32\drivers\hpzipr12.sys
2010-05-01 20:56 . 2008-10-24 09:48 118272 ----a-w- c:\windows\system32\hpz3l696.dll
2010-05-01 20:56 . 2008-10-24 09:48 321536 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\hpzpp696.dll
2010-05-01 20:56 . 2008-10-23 18:35 271704 ----a-r- c:\windows\system32\hpzids01.dll
2010-05-01 20:56 . 2008-10-23 18:34 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2010-05-01 20:56 . 2008-10-23 18:34 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2010-05-01 20:56 . 2008-10-23 18:34 309760 ----a-r- c:\windows\system32\difxapi.dll
2010-05-01 20:56 . 2008-10-23 18:34 737280 ----a-r- c:\windows\system32\hposwia_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 974848 ----a-r- c:\windows\system32\hpost_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 307200 ----a-r- c:\windows\system32\hposc_p01a.dll
2010-05-01 19:44 . 2010-05-16 23:13 -------- dc----w- c:\windows\system32\DRVSTORE
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\HP
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Hewlett-Packard
2010-05-01 19:43 . 2010-05-01 21:01 -------- d-----w- c:\program files\HP
2010-05-01 19:42 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-05-01 19:35 . 2010-05-01 21:11 167493 ----a-w- c:\windows\hpoins30.dat
2010-05-01 19:35 . 2008-12-05 02:52 547 ------w- c:\windows\hpomdl30.dat
2010-04-28 21:56 . 2010-04-28 21:56 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-04-27 23:37 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-04-27 23:37 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 18:07 . 2006-02-23 15:56 -------- d-----w- c:\program files\Fichiers communs\Java
2010-05-19 18:06 . 2006-02-23 15:56 -------- d-----w- c:\program files\Java
2010-05-16 22:45 . 2006-02-23 12:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-16 11:12 . 2010-04-17 11:38 -------- d-----w- c:\program files\uTorrent
2010-05-14 12:47 . 2010-04-12 13:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-14 12:46 . 2006-02-23 02:15 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-13 20:05 . 2006-02-23 02:15 1037824 ----a-w- c:\windows\explorer.exe
2010-05-11 23:09 . 2010-04-14 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-02 19:10 . 2006-02-23 16:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Adobe-BackupByPhotoshopPortable
2010-05-02 18:24 . 2006-02-23 16:00 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-29 13:39 . 2010-04-12 13:00 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-12 13:00 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 21:51 . 2010-04-14 19:04 -------- d-----w- c:\program files\Microsoft Works
2010-04-28 13:45 . 2010-04-28 13:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-24 19:07 . 2006-02-23 02:15 97006 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-24 19:07 . 2006-02-23 02:15 536072 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-19 20:01 . 2006-02-23 16:11 -------- d-----w- c:\program files\Google
2010-04-18 15:18 . 2010-04-14 07:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2010-04-17 11:52 . 2010-04-17 11:52 -------- d-----w- c:\program files\VideoLAN
2010-04-14 19:02 . 2010-04-14 19:02 -------- d-----w- c:\program files\Microsoft.NET
2010-04-14 08:12 . 2010-04-14 07:46 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2010-04-14 08:11 . 2010-04-14 07:58 -------- d-----w- c:\program files\AutoCAD Architecture 2009
2010-04-14 08:05 . 2010-04-14 08:05 -------- d-----w- c:\program files\Common Files
2010-04-14 07:55 . 2010-04-14 07:55 -------- d-----w- c:\program files\MSBuild
2010-04-14 07:51 . 2010-04-14 07:51 -------- d-----w- c:\program files\Reference Assemblies
2010-04-14 07:46 . 2010-04-14 07:46 -------- d-----w- c:\program files\Autodesk
2010-04-14 07:20 . 2010-04-14 07:20 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-14 07:20 . 2010-04-14 07:20 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-14 07:18 . 2010-04-14 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-12 17:05 . 2006-02-23 10:28 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-12 16:50 . 2010-04-11 19:16 -------- d-----w- c:\program files\GDS
2010-04-12 13:00 . 2010-04-12 13:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-11 20:32 . 2010-04-11 20:32 -------- d-----w- c:\program files\MSXML 4.0
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Norton Ghost
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Symantec
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Skype
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\program files\AOL 9.0
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\AOL
2010-04-11 19:17 . 2010-04-11 17:50 -------- d-----w- c:\program files\Fichiers communs\AOL
2010-04-11 19:15 . 2006-02-23 15:57 -------- d-----w- c:\program files\Sony
2010-04-11 17:50 . 2010-04-11 17:50 335 ----a-w- c:\windows\nsreg.dat
2010-04-11 17:33 . 2010-04-11 17:13 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\program files\Avira
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-04-11 14:36 . 2006-02-23 16:14 10344 ----a-w- c:\windows\system32\drivers\symlcbrd.sys
2010-04-11 14:30 . 2006-02-23 15:54 -------- d-----w- c:\program files\Fichiers communs\Sony Shared
2010-04-11 14:29 . 2010-04-11 14:29 -------- d-----w- c:\program files\Microsoft SQL Server
2010-04-11 14:27 . 2010-04-11 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\VAIO Media Platform
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Roxio
2010-04-11 14:19 . 2010-04-11 14:19 0 ---ha-r- c:\windows\system32\drivers\Sony_VGN-FS515B.mrk
2010-04-11 14:19 . 2010-04-11 14:19 -------- d-----w- c:\program files\Raccourcis de programmes
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-03-10 06:16 . 2006-02-23 02:15 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-02-23 02:15 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-02-23 02:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Joël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-11 136176]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-05 114688]
"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIO Update 2"="c:\program files\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"PDService.exe"="c:\program files\Utimaco\SafeGuard PrivateDisk\pdservice.exe" [2004-07-06 40960]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-01-26 52848]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 14720000]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2007-04-10 1537640]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"pojou"="c:\windows\system32\retuwur.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/04/2010 09:20 691696]
R1 PrivateDisk;PrivateDisk;c:\windows\system32\drivers\privatediskm.sys [06/07/2004 15:07 45627]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/04/2010 19:13 108289]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
S2 bzcppixypxame;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys [?]
S2 dehuqw;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys [?]
S2 doihrll;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys [?]
S2 dqetglqdjkqna;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys [?]
S2 dtkivk;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys [?]
S2 HPZipr12q;HPZipr12q;\??\c:\windows\System32\DRIVERS\HPZipr12q.sys --> c:\windows\System32\DRIVERS\HPZipr12q.sys [?]
S2 hvduz;\??\C;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys [?]
S2 qcormd;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys [?]
S2 rxtlkhztkwohqgx;\??\c:\docume~1;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys [?]
S2 swfprmspsyoh;\??\c:\docum;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys [?]
S2 xmkacdy;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys [?]
S2 yfopiuyyd;\??\c:\do;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys [?]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.club-vaio.com/fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.club-vaio.com/fr/
uInternet Settings,ProxyOverride = *.local
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-22 13:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hal.dll ACPI.sys atapi.sys spyx.sys >>UNKNOWN [0x8658A938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7620f28
\Driver\ACPI -> ACPI.sys @ 0xf7387cb8
\Driver\atapi -> atapi.sys @ 0xf7324b40
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7217bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7224a21
SendHandler -> NDIS.sys @ 0xf720287b

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\VESWinlogon.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(200)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\program files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\GEARSec.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\ICO.EXE
c:\windows\system32\wdfmgr.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\program files\Apoint\Apntex.exe
c:\windows\RTHDCPL.EXE
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-22 13:13:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-22 11:13
ComboFix2.txt 2010-05-21 12:59

Avant-CF: 28 650 332 160 octets libres
Après-CF: 28 719 419 392 octets libres

- - End Of File - - 843B782FC68BA73D5233D743C8E6A5CA

A venir: rapport de Hijack This...

Aolantuo

aolantuo · par **aolantuo** » 22 mai 2010 13:52

Salut,
J'ai aussi remarqué que le pare-feu windows me permet de cliquer dessus. J'ai eu par contre un adware.

Voici le rapport de HiJack This:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:45:59, on 22/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Documents and Settings\Joël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Joël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Joël\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\HiJack This\HiJackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.com/fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [PDService.exe] C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Program Files\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [pojou] C:\WINDOWS\system32\retuwur.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Joël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MSSQL$VAIO_VEDB - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 15264 bytes

Merci!

Aolantuo

par **Malekal_morte** » 22 mai 2010 13:54

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

folder::
c:\system volume information\_restore{d5fffa500b1b}\
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"pojou"=-

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

aolantuo · par **aolantuo** » 22 mai 2010 16:57

En fait Combofix fait redémarrer l'ordinateur une première fois à cause de mon émulateur de disques: daemon tools.

Voici le nouveau rapport de Combofix:

ComboFix 10-05-21.06 - Joël 22/05/2010 16:29:04.3.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.600 [GMT 2:00]
Lancé depuis: c:\documents and settings\Joël\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Joël\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\system volume information\_restore{d5fffa500b1b}\\smss.exe
c:\system volume information\_restore{d5fffa500b1b}\\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b} . . . . impossible à supprimer
c:\system volume information\_restore{d5fffa500b1b}\ . . . . impossible à supprimer

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-22 au 2010-05-22 ))))))))))))))))))))))))))))))))))))
.

2010-05-22 11:40 . 2010-05-22 11:45 -------- d-----w- C:\HiJack This
2010-05-21 12:47 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-21 12:47 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-19 18:06 . 2010-05-19 18:06 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-18 18:30 . 2010-05-18 18:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Bluetooth
2010-05-18 18:28 . 2010-05-18 18:28 -------- d-----w- c:\program files\IVT Corporation
2010-05-18 13:53 . 2010-05-18 13:53 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\program files\iTunes
2010-05-16 23:08 . 2010-05-16 23:09 -------- d-----w- c:\program files\Apple Software Update
2010-05-16 23:08 . 2010-05-16 23:08 -------- d-----w- c:\program files\Bonjour
2010-05-16 23:07 . 2010-05-16 23:12 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-05-16 23:07 . 2010-05-16 23:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-05-16 22:39 . 2010-05-16 23:10 -------- d-----w- c:\program files\QuickTime
2010-05-16 22:37 . 2010-05-16 23:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-05-16 22:36 . 2004-12-18 18:32 38229 ------w- c:\windows\system32\drivers\StMp3Rec.sys
2010-05-16 22:36 . 2010-05-16 23:12 -------- d-----w- c:\program files\iPod
2010-05-16 22:33 . 2010-05-16 22:36 -------- d-----w- c:\windows\Downloaded Installations
2010-05-16 11:04 . 2010-05-16 11:04 -------- d-----w- C:\watcom-1.3
2010-05-16 11:04 . 2010-05-16 11:04 36864 ----a-w- c:\windows\system32\maplec.dll
2010-05-16 11:04 . 2010-05-16 11:04 155648 ----a-w- c:\windows\system32\WMIMPLEX.dll
2010-05-16 11:03 . 2010-05-16 11:04 -------- d-----w- c:\program files\Maple 10
2010-05-16 11:01 . 2010-05-16 11:04 -------- d--h--w- c:\program files\Zero G Registry
2010-05-15 19:59 . 2010-05-22 14:31 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData
2010-05-14 22:23 . 2010-05-14 22:23 -------- d-----w- c:\windows\system32\LogFiles
2010-05-14 16:29 . 2010-05-15 12:23 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-05-13 20:16 . 2010-05-13 20:16 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-05-09 23:02 . 2010-05-22 10:44 1103728 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-05-03 18:48 . 2010-05-03 18:49 23797 ----a-w- c:\windows\hpqins15.dat
2010-05-03 18:42 . 2010-05-03 18:42 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-05-03 18:39 . 2010-05-03 18:43 78334 ----a-w- c:\windows\hpqins05.dat
2010-05-02 18:35 . 2010-05-02 18:35 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-05-02 18:17 . 2010-05-02 18:17 -------- d-----w- c:\program files\Adobe Media Player
2010-05-02 18:15 . 2010-05-02 18:15 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-05-02 18:09 . 2010-05-02 18:09 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-05-01 21:03 . 2010-05-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\WEBREG
2010-05-01 20:58 . 2010-05-03 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2010-05-01 20:57 . 2008-10-23 18:34 16496 ----a-r- c:\windows\system32\drivers\hpzipr12.sys
2010-05-01 20:56 . 2008-10-24 09:48 118272 ----a-w- c:\windows\system32\hpz3l696.dll
2010-05-01 20:56 . 2008-10-24 09:48 321536 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\hpzpp696.dll
2010-05-01 20:56 . 2008-10-23 18:35 271704 ----a-r- c:\windows\system32\hpzids01.dll
2010-05-01 20:56 . 2008-10-23 18:34 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2010-05-01 20:56 . 2008-10-23 18:34 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2010-05-01 20:56 . 2008-10-23 18:34 309760 ----a-r- c:\windows\system32\difxapi.dll
2010-05-01 20:56 . 2008-10-23 18:34 737280 ----a-r- c:\windows\system32\hposwia_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 974848 ----a-r- c:\windows\system32\hpost_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 307200 ----a-r- c:\windows\system32\hposc_p01a.dll
2010-05-01 19:44 . 2010-05-16 23:13 -------- dc----w- c:\windows\system32\DRVSTORE
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\HP
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Hewlett-Packard
2010-05-01 19:43 . 2010-05-01 21:01 -------- d-----w- c:\program files\HP
2010-05-01 19:42 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-05-01 19:35 . 2010-05-01 21:11 167493 ----a-w- c:\windows\hpoins30.dat
2010-05-01 19:35 . 2008-12-05 02:52 547 ------w- c:\windows\hpomdl30.dat
2010-04-28 21:56 . 2010-04-28 21:56 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-04-27 23:37 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-04-27 23:37 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 18:07 . 2006-02-23 15:56 -------- d-----w- c:\program files\Fichiers communs\Java
2010-05-19 18:06 . 2006-02-23 15:56 -------- d-----w- c:\program files\Java
2010-05-16 22:45 . 2006-02-23 12:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-16 11:12 . 2010-04-17 11:38 -------- d-----w- c:\program files\uTorrent
2010-05-14 12:47 . 2010-04-12 13:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-14 12:46 . 2006-02-23 02:15 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-13 20:05 . 2006-02-23 02:15 1037824 ----a-w- c:\windows\explorer.exe
2010-05-11 23:09 . 2010-04-14 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-02 19:10 . 2006-02-23 16:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Adobe-BackupByPhotoshopPortable
2010-05-02 18:24 . 2006-02-23 16:00 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-29 13:39 . 2010-04-12 13:00 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-12 13:00 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 21:51 . 2010-04-14 19:04 -------- d-----w- c:\program files\Microsoft Works
2010-04-28 13:45 . 2010-04-28 13:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-24 19:07 . 2006-02-23 02:15 97006 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-24 19:07 . 2006-02-23 02:15 536072 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-19 20:01 . 2006-02-23 16:11 -------- d-----w- c:\program files\Google
2010-04-18 15:18 . 2010-04-14 07:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2010-04-17 11:52 . 2010-04-17 11:52 -------- d-----w- c:\program files\VideoLAN
2010-04-14 19:02 . 2010-04-14 19:02 -------- d-----w- c:\program files\Microsoft.NET
2010-04-14 08:12 . 2010-04-14 07:46 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2010-04-14 08:11 . 2010-04-14 07:58 -------- d-----w- c:\program files\AutoCAD Architecture 2009
2010-04-14 08:05 . 2010-04-14 08:05 -------- d-----w- c:\program files\Common Files
2010-04-14 07:55 . 2010-04-14 07:55 -------- d-----w- c:\program files\MSBuild
2010-04-14 07:51 . 2010-04-14 07:51 -------- d-----w- c:\program files\Reference Assemblies
2010-04-14 07:46 . 2010-04-14 07:46 -------- d-----w- c:\program files\Autodesk
2010-04-14 07:20 . 2010-04-14 07:20 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-14 07:20 . 2010-04-14 07:20 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-14 07:18 . 2010-04-14 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-12 17:05 . 2006-02-23 10:28 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-12 16:50 . 2010-04-11 19:16 -------- d-----w- c:\program files\GDS
2010-04-12 13:00 . 2010-04-12 13:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-11 20:32 . 2010-04-11 20:32 -------- d-----w- c:\program files\MSXML 4.0
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Norton Ghost
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Symantec
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Skype
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\program files\AOL 9.0
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\AOL
2010-04-11 19:17 . 2010-04-11 17:50 -------- d-----w- c:\program files\Fichiers communs\AOL
2010-04-11 19:15 . 2006-02-23 15:57 -------- d-----w- c:\program files\Sony
2010-04-11 17:50 . 2010-04-11 17:50 335 ----a-w- c:\windows\nsreg.dat
2010-04-11 17:33 . 2010-04-11 17:13 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\program files\Avira
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-04-11 14:36 . 2006-02-23 16:14 10344 ----a-w- c:\windows\system32\drivers\symlcbrd.sys
2010-04-11 14:30 . 2006-02-23 15:54 -------- d-----w- c:\program files\Fichiers communs\Sony Shared
2010-04-11 14:29 . 2010-04-11 14:29 -------- d-----w- c:\program files\Microsoft SQL Server
2010-04-11 14:27 . 2010-04-11 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\VAIO Media Platform
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Roxio
2010-04-11 14:19 . 2010-04-11 14:19 0 ---ha-r- c:\windows\system32\drivers\Sony_VGN-FS515B.mrk
2010-04-11 14:19 . 2010-04-11 14:19 -------- d-----w- c:\program files\Raccourcis de programmes
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-03-10 06:16 . 2006-02-23 02:15 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-02-23 02:15 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-02-23 02:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Joël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-11 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-05 114688]
"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIO Update 2"="c:\program files\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"PDService.exe"="c:\program files\Utimaco\SafeGuard PrivateDisk\pdservice.exe" [2004-07-06 40960]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-01-26 52848]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 14720000]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2007-04-10 1537640]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/04/2010 09:20 691696]
R1 PrivateDisk;PrivateDisk;c:\windows\system32\drivers\privatediskm.sys [06/07/2004 15:07 45627]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/04/2010 19:13 108289]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
S2 bzcppixypxame;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys [?]
S2 dehuqw;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys [?]
S2 doihrll;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys [?]
S2 dqetglqdjkqna;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys [?]
S2 dtkivk;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys [?]
S2 HPZipr12q;HPZipr12q;\??\c:\windows\System32\DRIVERS\HPZipr12q.sys --> c:\windows\System32\DRIVERS\HPZipr12q.sys [?]
S2 hvduz;\??\C;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys [?]
S2 qcormd;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys [?]
S2 rxtlkhztkwohqgx;\??\c:\docume~1;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys [?]
S2 swfprmspsyoh;\??\c:\docum;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys [?]
S2 xmkacdy;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys [?]
S2 yfopiuyyd;\??\c:\do;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys [?]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.club-vaio.com/fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.club-vaio.com/fr/
uInternet Settings,ProxyOverride = *.local
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-22 16:41
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spxs.sys >>UNKNOWN [0x86B8A938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7660f28
\Driver\ACPI -> ACPI.sys @ 0xf73c7cb8
\Driver\atapi -> atapi.sys @ 0xf7364b40
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7257bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7264a21
SendHandler -> NDIS.sys @ 0xf724287b

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\VESWinlogon.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(2940)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\program files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\GEARSec.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\windows\system32\ICO.EXE
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Apoint\Apntex.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\windows\RTHDCPL.EXE
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-22 16:49:17 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-22 14:49
ComboFix2.txt 2010-05-22 11:13
ComboFix3.txt 2010-05-21 12:59

Avant-CF: 28 665 962 496 octets libres
Après-CF: 28 685 512 704 octets libres

- - End Of File - - DFBB6D32C46538CFE8600D1E0B0A2040

par **Malekal_morte** » 22 mai 2010 17:11

• Telecharge:: http://swandog46.geekstogo.com/avenger2/download.php
http://swandog46.geekstogo.com/avenger2/avenger.zip

• dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Debranche tous tes supports USB

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Folders to delete:
c:\system volume information\_restore{d5fffa500b1b}

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Relance Combofix derrière, poste le rapport ici.

aolantuo · par **aolantuo** » 22 mai 2010 23:28

Pour ce qui est de avenger, après son exécution, AntiviGuard affiche plusieurs alertes, exactement les mêmes que j'avais avant de vous contacter:
"C:\SystemVolumeInformation\_restore{d5fffa500b1b}\svchost.exe (ou smss.exe) contient TR\Vilsel.aejm"

Voici le rapport de avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\system volume information\_restore{d5fffa500b1b}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Pour ce qui est de Combofix, il veut, comme pour les fois précédentes, redémarrer à cause des lecteurs virtuels. Il redémarre, mais au démarrage, Windows me demande un mot de passe, alors que mon ordinateur n'en a aucun! J'appuie sur "entrée" sans rien écrire et un fenêtre me dit:"impossible d'ouvrir une session car il y a une limitation de comptes". Je redémarre alors l'ordinateur et Windows ne me demande plus de mot de passe. Combofix fait son travail, fait redémarrer l'ordinateur et ....encore cette histoire de mot de passe. Je fais redémarrer, Combofix finit son travail...

Voici le rapport de Combofix:

ComboFix 10-05-21.06 - Joël 22/05/2010 18:53:19.4.1 - x86
Lancé depuis: c:\documents and settings\Joël\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b} . . . . impossible à supprimer

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-22 au 2010-05-22 ))))))))))))))))))))))))))))))))))))
.

2010-05-22 11:40 . 2010-05-22 11:45 -------- d-----w- C:\HiJack This
2010-05-21 12:47 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-21 12:47 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-19 18:06 . 2010-05-19 18:06 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-18 18:30 . 2010-05-18 18:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Bluetooth
2010-05-18 18:28 . 2010-05-18 18:28 -------- d-----w- c:\program files\IVT Corporation
2010-05-18 13:53 . 2010-05-18 13:53 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\program files\iTunes
2010-05-16 23:08 . 2010-05-16 23:09 -------- d-----w- c:\program files\Apple Software Update
2010-05-16 23:08 . 2010-05-16 23:08 -------- d-----w- c:\program files\Bonjour
2010-05-16 23:07 . 2010-05-16 23:12 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-05-16 23:07 . 2010-05-16 23:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-05-16 22:39 . 2010-05-16 23:10 -------- d-----w- c:\program files\QuickTime
2010-05-16 22:37 . 2010-05-16 23:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-05-16 22:36 . 2004-12-18 18:32 38229 ------w- c:\windows\system32\drivers\StMp3Rec.sys
2010-05-16 22:36 . 2010-05-16 23:12 -------- d-----w- c:\program files\iPod
2010-05-16 22:33 . 2010-05-16 22:36 -------- d-----w- c:\windows\Downloaded Installations
2010-05-16 11:04 . 2010-05-16 11:04 -------- d-----w- C:\watcom-1.3
2010-05-16 11:04 . 2010-05-16 11:04 36864 ----a-w- c:\windows\system32\maplec.dll
2010-05-16 11:04 . 2010-05-16 11:04 155648 ----a-w- c:\windows\system32\WMIMPLEX.dll
2010-05-16 11:03 . 2010-05-16 11:04 -------- d-----w- c:\program files\Maple 10
2010-05-16 11:01 . 2010-05-16 11:04 -------- d--h--w- c:\program files\Zero G Registry
2010-05-15 19:59 . 2010-05-22 16:56 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData
2010-05-14 22:23 . 2010-05-14 22:23 -------- d-----w- c:\windows\system32\LogFiles
2010-05-14 16:29 . 2010-05-15 12:23 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-05-13 20:16 . 2010-05-13 20:16 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-05-09 23:02 . 2010-05-22 10:44 1103728 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-05-03 18:48 . 2010-05-03 18:49 23797 ----a-w- c:\windows\hpqins15.dat
2010-05-03 18:42 . 2010-05-03 18:42 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-05-03 18:39 . 2010-05-03 18:43 78334 ----a-w- c:\windows\hpqins05.dat
2010-05-02 18:35 . 2010-05-02 18:35 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-05-02 18:17 . 2010-05-02 18:17 -------- d-----w- c:\program files\Adobe Media Player
2010-05-02 18:15 . 2010-05-02 18:15 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-05-02 18:09 . 2010-05-02 18:09 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-05-01 21:03 . 2010-05-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\WEBREG
2010-05-01 20:58 . 2010-05-03 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2010-05-01 20:57 . 2008-10-23 18:34 16496 ----a-r- c:\windows\system32\drivers\hpzipr12.sys
2010-05-01 20:56 . 2008-10-24 09:48 118272 ----a-w- c:\windows\system32\hpz3l696.dll
2010-05-01 20:56 . 2008-10-24 09:48 321536 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\hpzpp696.dll
2010-05-01 20:56 . 2008-10-23 18:35 271704 ----a-r- c:\windows\system32\hpzids01.dll
2010-05-01 20:56 . 2008-10-23 18:34 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2010-05-01 20:56 . 2008-10-23 18:34 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2010-05-01 20:56 . 2008-10-23 18:34 309760 ----a-r- c:\windows\system32\difxapi.dll
2010-05-01 20:56 . 2008-10-23 18:34 737280 ----a-r- c:\windows\system32\hposwia_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 974848 ----a-r- c:\windows\system32\hpost_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 307200 ----a-r- c:\windows\system32\hposc_p01a.dll
2010-05-01 19:44 . 2010-05-16 23:13 -------- dc----w- c:\windows\system32\DRVSTORE
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\HP
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Hewlett-Packard
2010-05-01 19:43 . 2010-05-01 21:01 -------- d-----w- c:\program files\HP
2010-05-01 19:42 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-05-01 19:35 . 2010-05-01 21:11 167493 ----a-w- c:\windows\hpoins30.dat
2010-05-01 19:35 . 2008-12-05 02:52 547 ------w- c:\windows\hpomdl30.dat
2010-04-28 21:56 . 2010-04-28 21:56 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-04-27 23:37 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-04-27 23:37 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 18:07 . 2006-02-23 15:56 -------- d-----w- c:\program files\Fichiers communs\Java
2010-05-19 18:06 . 2006-02-23 15:56 -------- d-----w- c:\program files\Java
2010-05-16 22:45 . 2006-02-23 12:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-16 11:12 . 2010-04-17 11:38 -------- d-----w- c:\program files\uTorrent
2010-05-14 12:47 . 2010-04-12 13:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-14 12:46 . 2006-02-23 02:15 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-13 20:05 . 2006-02-23 02:15 1037824 ----a-w- c:\windows\explorer.exe
2010-05-11 23:09 . 2010-04-14 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-02 19:10 . 2006-02-23 16:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Adobe-BackupByPhotoshopPortable
2010-05-02 18:24 . 2006-02-23 16:00 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-29 13:39 . 2010-04-12 13:00 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-12 13:00 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 21:51 . 2010-04-14 19:04 -------- d-----w- c:\program files\Microsoft Works
2010-04-28 13:45 . 2010-04-28 13:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-24 19:07 . 2006-02-23 02:15 97006 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-24 19:07 . 2006-02-23 02:15 536072 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-19 20:01 . 2006-02-23 16:11 -------- d-----w- c:\program files\Google
2010-04-18 15:18 . 2010-04-14 07:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2010-04-17 11:52 . 2010-04-17 11:52 -------- d-----w- c:\program files\VideoLAN
2010-04-14 19:02 . 2010-04-14 19:02 -------- d-----w- c:\program files\Microsoft.NET
2010-04-14 08:12 . 2010-04-14 07:46 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2010-04-14 08:11 . 2010-04-14 07:58 -------- d-----w- c:\program files\AutoCAD Architecture 2009
2010-04-14 08:05 . 2010-04-14 08:05 -------- d-----w- c:\program files\Common Files
2010-04-14 07:55 . 2010-04-14 07:55 -------- d-----w- c:\program files\MSBuild
2010-04-14 07:51 . 2010-04-14 07:51 -------- d-----w- c:\program files\Reference Assemblies
2010-04-14 07:46 . 2010-04-14 07:46 -------- d-----w- c:\program files\Autodesk
2010-04-14 07:20 . 2010-04-14 07:20 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-14 07:20 . 2010-04-14 07:20 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-14 07:18 . 2010-04-14 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-12 17:05 . 2006-02-23 10:28 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-12 16:50 . 2010-04-11 19:16 -------- d-----w- c:\program files\GDS
2010-04-12 13:00 . 2010-04-12 13:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-11 20:32 . 2010-04-11 20:32 -------- d-----w- c:\program files\MSXML 4.0
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Norton Ghost
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Symantec
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Skype
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\program files\AOL 9.0
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\AOL
2010-04-11 19:17 . 2010-04-11 17:50 -------- d-----w- c:\program files\Fichiers communs\AOL
2010-04-11 19:15 . 2006-02-23 15:57 -------- d-----w- c:\program files\Sony
2010-04-11 17:50 . 2010-04-11 17:50 335 ----a-w- c:\windows\nsreg.dat
2010-04-11 17:33 . 2010-04-11 17:13 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\program files\Avira
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-04-11 14:36 . 2006-02-23 16:14 10344 ----a-w- c:\windows\system32\drivers\symlcbrd.sys
2010-04-11 14:30 . 2006-02-23 15:54 -------- d-----w- c:\program files\Fichiers communs\Sony Shared
2010-04-11 14:29 . 2010-04-11 14:29 -------- d-----w- c:\program files\Microsoft SQL Server
2010-04-11 14:27 . 2010-04-11 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\VAIO Media Platform
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Roxio
2010-04-11 14:19 . 2010-04-11 14:19 0 ---ha-r- c:\windows\system32\drivers\Sony_VGN-FS515B.mrk
2010-04-11 14:19 . 2010-04-11 14:19 -------- d-----w- c:\program files\Raccourcis de programmes
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-03-10 06:16 . 2006-02-23 02:15 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-02-23 02:15 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-02-23 02:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Joël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-11 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-05 114688]
"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIO Update 2"="c:\program files\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"PDService.exe"="c:\program files\Utimaco\SafeGuard PrivateDisk\pdservice.exe" [2004-07-06 40960]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-01-26 52848]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 14720000]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2007-04-10 1537640]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/04/2010 09:20 691696]
R1 PrivateDisk;PrivateDisk;c:\windows\system32\drivers\privatediskm.sys [06/07/2004 15:07 45627]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/04/2010 19:13 108289]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
S2 bzcppixypxame;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys [?]
S2 dehuqw;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys [?]
S2 doihrll;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys [?]
S2 dqetglqdjkqna;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys [?]
S2 dtkivk;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys [?]
S2 HPZipr12q;HPZipr12q;\??\c:\windows\System32\DRIVERS\HPZipr12q.sys --> c:\windows\System32\DRIVERS\HPZipr12q.sys [?]
S2 hvduz;\??\C;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys [?]
S2 qcormd;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys [?]
S2 rxtlkhztkwohqgx;\??\c:\docume~1;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys [?]
S2 swfprmspsyoh;\??\c:\docum;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys [?]
S2 xmkacdy;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys [?]
S2 yfopiuyyd;\??\c:\do;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys [?]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.club-vaio.com/fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.club-vaio.com/fr/
uInternet Settings,ProxyOverride = *.local
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-22 19:09
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spgl.sys >>UNKNOWN [0x86B8A938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7660f28
\Driver\ACPI -> ACPI.sys @ 0xf73c7cb8
\Driver\atapi -> atapi.sys @ 0xf7364b40
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7257bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7264a21
SendHandler -> NDIS.sys @ 0xf724287b

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1112)
c:\windows\system32\VESWinlogon.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(4016)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\program files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\GEARSec.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
c:\program files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
c:\windows\system32\ICO.EXE
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
c:\program files\Apoint\Apntex.exe
c:\windows\RTHDCPL.EXE
c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
c:\windows\system32\wscntfy.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-05-22 19:17:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-22 17:17
ComboFix2.txt 2010-05-22 14:49
ComboFix3.txt 2010-05-22 11:13
ComboFix4.txt 2010-05-21 12:59

Avant-CF: 28 653 723 648 octets libres
Après-CF: 28 653 056 000 octets libres

- - End Of File - - 5CA4DB19B023B85CF651044A153261CD

Merci encore pour votre support...

aolantuo

par **Malekal_morte** » 23 mai 2010 11:09

Bon y a un truc qui refous l'infection.

Déjà tu zip le dossier C:\qoobox et tu l'envoies là : http://upload.malekal.com

Fais un scan en ligne Kaspersky : https://www.malekal.com/scan_Av_en_lign ... ocId291566
Tu peux scanner que le disque C.
Enregistre le rapport de scan et poste le rapport de scan ici

aolantuo · par **aolantuo** » 23 mai 2010 23:26

Salut,

J'ai envoyé le qoobox sur upload malekal en tant que "malware".

Voici le rapport de kaspersky online scan:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Sunday, May 23, 2010
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Sunday, May 23, 2010 08:12:00
Records in database: 4167006
--------------------------------------------------------------------------------

Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\

Scan statistics:
Objects scanned: 118387
Threats found: 1
Infected objects found: 19
Suspicious objects found: 0
Scan duration: 05:42:19

File name / Threat / Threats count
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe/C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt 1
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\smss.exe.vir Infected: Trojan-Clicker.Win32.Cycler.ajnt 1
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\svchost.exe.vir Infected: Trojan-Clicker.Win32.Cycler.ajnt 1
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\_smss_.exe.zip Infected: Trojan-Clicker.Win32.Cycler.ajnt 3
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\_svchost_.exe.zip Infected: Trojan-Clicker.Win32.Cycler.ajnt 3
C:\Qoobox.rar Infected: Trojan-Clicker.Win32.Cycler.ajnt 8
C:\System Volume Information\_restore{d5fffa500b1b}\smss.VIR Infected: Trojan-Clicker.Win32.Cycler.ajnt 1
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt 1

Selected area has been scanned.

j'espère que ça pourra aider...

par **Malekal_morte** » 24 mai 2010 00:22

Télécharge ce fichier : http://www.esagelab.com/files/bootkit_remover.rar
Tu le dérar et tu le lances.

Tu fais un screenshot et tu attaches l'image ici (bouton en bas attacher des fichiers joints) dans un nouveau message.

aolantuo · par **aolantuo** » 24 mai 2010 12:18

voici le screenshot de la fenêtre qui s'ouvre tout de suite après avoir cliqué sur remover.exe

par **Malekal_morte** » 24 mai 2010 12:27

Sauvegarde tes données importantes car on est pas à l'abri d'un plantage.

2/ Ouvre le bloc-note et copie/colle ce qu'il y a ci-dessous :

@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT

- Enregistre le fichier sur ton bureau sous le nom fixi.bat (le .bat à la fin est important)
- double clic sur fix.Bat, ça doit ouvrir une fenetre noir qui va se refermer.

Refais l'étape de The Avenger : http://forum.malekal.com/posting.php?mo ... 4#pr212179
Poste le rapport ici.

Refais un Combofix derrière, poste le rapport ici.

Et un coup de remover avec la capture comme la première fois.

Malekal.com forum

[TR\Vilsel.aejm] et Your protection

[TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection

Re: [TR\Vilsel.aejm] et Your protection