Communauté Clubic

Combofix

Bonjour a tous ,

J’ai eu une alerte d’avast me disant que mon pc etait infecté , j’ai fais un scan et il a trouvé 3 trojans " vundo ".
J’ai essayé de désinfecter avec ad-aware , spybot , malware , et ils étaient toujours présent . J’ai essayé vundofix et là toujours pareil .
Donc , j’ai vu sur un site que l’on pouvait utiliser combofix . J’ai lancé l’executable , tout s’est déroulé normalement mais lorsque combofix a fait redémarrer mon pc , plus de bureau seulement le pointeur de la souris .

Avez-vous une idée pour résoudre le probléme ?
Merci

PS : j’ai 2 disques durs , 1 avec vista où j’ai eu le probléme avec combofix et un autre avec XP ; Puis-je faire qquechose pour réparer en passant par XP ?

Merci

Salut

Combofix est un outil qu’il faut manier avec précaution, il est très dangereux si on l’utilise mal.
Démarre en mode sans échec et lance une restauration de systéme…
Ensuite suis cette procédure
Edité le 31/08/2008 à 11:39


De plus ton vundofix tu la eu ou? Celui de clubic n'est pas a jours (je leur est signalé ya 2 semaine et toujour pas mis a jour :( ) [vundofix.atribune.org...](http://vundofix.atribune.org/)

Salut ,

J’ai essayé de démarrer en mode sans échec mais là toujours pareil pas de bureau .
Je ne peux pas faire de restauration car l’ecran est noir seulement le pointeur de la souris ( pas d’icones et de barre des tâches )
Je peux ouvrir le gestionnaire des tâches en tapant ctrl+alt+suppr et c’est tout .

dans le gestionnaire de tache, fait nouvelle tache et tape explorer.exe

Puis fait une restauration de système

tu lance IE en manuel

J’ai réussi a avoir le bureau mais je ne peux pas faire de restauration car il me dit qu’il n’y a aucun point de sauvegarder alors que hier il y en avait plusieurs .
Y-a-t-il d’autres moyens ?
Merci

Suis la procédure on verra plus tard si sa revient au pire on réinscrira manuellement explorer.exe :wink:

Voilà les différents rapports :

hij 1 :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12, on 2008-08-31
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\PRISMSVR.EXE
C:\Windows\explorer.exe
C:\Windows\system32\conime.exe
C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Users\Damien\Desktop\VundoFix(2).exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Damien\Desktop\HiJackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {048A922F-3891-40AD-AFB5-EFECBAF55FDD} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [Launch LCDMon] “C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe”
O4 - HKLM…\Run: [Launch LGDCore] “C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe” /SHOWHIDE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKCU…\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU…\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU…\Run: [NVIDIA nTune] “C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe” clear
O4 - HKCU…\Run: [MSSMSGS] rundll32.exe winxgo32.rom,nPPRun
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE RÉSEAU’)
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: byxwxxw - byxwxxw.dll (file missing)
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\Windows\SYSTEM32\VundoFixSVC.exe


End of file - 5969 bytes
hij2 :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22, on 2008-08-31
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\PRISMSVR.EXE
C:\Windows\explorer.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe
C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Damien\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {048A922F-3891-40AD-AFB5-EFECBAF55FDD} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [Launch LCDMon] “C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe”
O4 - HKLM…\Run: [Launch LGDCore] “C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe” /SHOWHIDE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU…\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU…\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU…\Run: [NVIDIA nTune] “C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe” clear
O4 - HKCU…\Run: [MSSMSGS] rundll32.exe winxgo32.rom,nPPRun
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE RÉSEAU’)
O8 - Extra context menu item: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: byxwxxw - byxwxxw.dll (file missing)
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\Windows\SYSTEM32\VundoFixSVC.exe


End of file - 5242 bytes

Mal: aucun virus

Spyboy : trojan virtumonde

Navilog :
Search Navipromo version 3.6.5 commencé le 2008-08-31 à 18:23:19.84

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l’avis d’un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : “Damien”

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans “C:\Windows” ***

*** Recherche dossiers dans “C:\Program Files” ***

*** Recherche dossiers dans “c:\progra~2\micros~1\windows\startm~1\programs” ***

*** Recherche dossiers dans “c:\progra~2\micros~1\windows\startm~1” ***

*** Recherche dossiers dans “C:\ProgramData” ***

*** Recherche dossiers dans “c:\users\damien\appdata\roaming\micros~1\windows\startm~1\programs” ***

*** Recherche dossiers dans “C:\Users\Damien\AppData\Local\virtualstore\Program Files” ***

*** Recherche dossiers dans “C:\Users\Damien\AppData\Roaming” ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d’infos : www.gmer.net…

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

  • Recherche dans “C:\Windows\system32” *

  • Recherche dans “C:\Users\Damien\AppData\Local\Microsoft” *

  • Recherche dans “C:\Users\Damien\AppData\Local” *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

  • Dans “C:\Windows\system32” :

  • Dans “C:\Users\Damien\AppData\Local\Microsoft” :

  • Dans “C:\Users\Damien\AppData\Local” :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 2008-08-31 à 18:34:10.41 ***

Voila

Dans hijackthis coche:

Et fait fixed checked

Pourquoi a tu fait un navilog?

C’est Malwarebyte et Spybot?

Tu a fait une analyse avec Avast en mode sans échec?

Comment je fais pour cocher dans hijackthis
Pour navilog j’ai suivi la procédure .
C’est spybot oui desole
Avast je l’ai fait mais l’ordi a planté plusieurs fois donc pas de rapport
Cependant j’ai eu une alerte avast pour un virus .

Desole d’ecrire si vite et si mal mais firefox plante toutes les 30 sec environ :frowning:


Pour navilog je viens de revoir la procedure mais je n'aurais pas du le faire desole
Entre 2 coupures de firefox , j'ai coché les cases comme tu as dit et fais fixed check mais a chaque scan que je fais ils sont toujours là , est ce normal ?

C’est marquer uniquement en cas de pub intempestive

Non, on essayera plus tard en mode sans échec…

Eteint toute les applications
Lance combofix, laisse le travailler (fait rien dautre)
Et colle le rapport a la fin…
Edité le 31/08/2008 à 19:48

Rapport combofix :

ComboFix 08-08-30.03 - Damien 2008-08-31 20:10:20.2 - NTFSx86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6001.1.1252.1.1036.18.1210 [GMT 2:00]
Endroit: C:\Users\Damien\Downloads\ComboFix.exe

  • Création d’un nouveau point de restauration
    .

((((((((((((((((((((((((((((( Fichiers créés 2008-07-28 to 2008-08-31 ))))))))))))))))))))))))))))))))))))
.

2008-08-31 18:13 . 2008-08-31 19:31 d-------- C:\Program Files\Navilog1
2008-08-31 14:56 . 2008-07-19 16:36 51,280 --a------ C:\Windows\System32\drivers\aswMonFlt.sys
2008-08-30 21:15 . 2008-08-31 14:09 d-------- C:\Users\Damien\AppData\Roaming\SUPERAntiSpyware.com
2008-08-30 21:15 . 2008-08-30 21:15 d-------- C:\Users\All Users\SUPERAntiSpyware.com
2008-08-30 21:15 . 2008-08-30 21:15 d-------- C:\ProgramData\SUPERAntiSpyware.com
2008-08-30 13:24 . 2008-08-30 13:24 d-------- C:\Users\Damien\AppData\Roaming\Malwarebytes
2008-08-30 13:24 . 2008-08-30 13:24 d-------- C:\Users\All Users\Malwarebytes
2008-08-30 13:24 . 2008-08-30 13:24 d-------- C:\ProgramData\Malwarebytes
2008-08-30 13:20 . 2008-08-30 13:20 24,576 --a------ C:\Windows\System32\VundoFixSVC.exe
2008-08-30 12:49 . 2008-08-30 20:59 d-------- C:\Program Files\Enigma Software Group
2008-08-29 15:40 . 2008-08-29 15:40 33,280 --a------ C:\Windows\System32\winxgo32.rom
2008-08-14 08:35 . 2008-07-16 03:32 2,048 --a------ C:\Windows\System32\tzres.dll
2008-08-13 14:44 . 2008-06-27 03:55 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-08-13 14:44 . 2008-06-27 06:15 827,392 --a------ C:\Windows\System32\wininet.dll
2008-08-13 14:44 . 2008-04-10 07:12 738,304 --a------ C:\Windows\System32\inetcomm.dll
2008-08-13 14:44 . 2008-06-19 05:31 361,984 --a------ C:\Windows\System32\IPSECSVC.DLL
2008-08-13 14:44 . 2008-04-18 07:48 269,312 --a------ C:\Windows\System32\es.dll
2008-07-31 18:53 . 2008-07-31 18:53 d-------- C:\Program Files\THQ
2008-07-23 11:35 . 2008-06-26 03:45 12,240,896 --a------ C:\Windows\System32\NlsLexicons0007.dll
2008-07-23 11:35 . 2008-06-26 03:45 2,644,480 --a------ C:\Windows\System32\NlsLexicons0009.dll
2008-07-23 11:35 . 2008-06-26 05:29 801,280 --a------ C:\Windows\System32\NaturalLanguage6.dll
2008-07-17 08:11 . 2008-07-17 08:11 d-------- C:\Program Files\Activision
2008-07-16 01:09 . 2008-07-16 01:09 42,320 --a------ C:\Windows\System32\xfcodec.dll
2008-07-15 09:25 . 2008-08-28 14:50 d-------- C:\Warhammer Online - Age of Reckoning
2008-07-14 20:59 . 2008-07-14 20:59 d-------- C:\Program Files\Common Files\SWF Studio
2008-07-06 18:27 . 2008-07-06 18:29 d-------- C:\Users\Damien\AppData\Roaming\RetinaX
2008-07-06 18:25 . 2008-08-30 22:50 d-------- C:\Program Files\PC Health Optimizer Free Edition
2008-07-06 18:25 . 2008-05-07 17:12 1,010,720 --a------ C:\Windows\System32\MSCHRT20.OCX
2008-07-02 10:16 . 2008-07-02 10:16 d-------- C:\Program Files\Intel Corporation
2008-07-01 15:47 . 2008-07-01 15:47 d-------- C:\Windows\System32\Futuremark
2008-07-01 15:47 . 2007-08-20 11:05 27,672 -ra------ C:\Windows\System32\drivers\Entech.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-31 18:08 --------- d-----w C:\Users\Damien\AppData\Roaming\uTorrent
2008-08-31 15:23 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-08-31 12:08 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-08-15 07:24 --------- d-----w C:\ProgramData\NVIDIA
2008-08-14 13:54 296,777 ----a-w C:\Users\Damien\AppData\Roaming\mdb.bin
2008-08-14 06:41 --------- d-----w C:\Program Files\Windows Mail
2008-08-04 18:38 --------- d-----w C:\ProgramData\Xfire
2008-07-31 17:51 107,888 ----a-w C:\Windows\System32\CmdLineExt.dll
2008-07-31 17:07 --------- d-----w C:\ProgramData\Media Center Programs
2008-07-29 18:23 136,888 ----a-w C:\Windows\system32\drivers\PnkBstrK.sys
2008-07-29 18:23 111,928 ----a-w C:\Windows\System32\PnkBstrB.exe
2008-07-25 20:50 --------- d-----w C:\Users\Damien\AppData\Roaming\Xfire
2008-07-24 08:21 --------- d-----w C:\Users\Damien\AppData\Roaming\Turbine
2008-07-22 11:31 --------- d-----w C:\Program Files\Xfire
2008-07-17 15:07 66,872 ----a-w C:\Windows\System32\PnkBstrA.exe
2008-07-17 06:59 --------- d–h--w C:\Program Files\InstallShield Installation Information
2008-07-17 06:34 22,328 ----a-w C:\Users\Damien\AppData\Roaming\PnkBstrK.sys
2008-07-06 16:35 --------- d-----w C:\Users\Damien\AppData\Roaming\teamspeak2
2008-07-06 16:35 --------- d-----w C:\Program Files\Teamspeak2_RC2
2008-06-30 20:34 0 —ha-w C:\Windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2008-06-28 17:00 0 —ha-w C:\Windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-06-24 08:31 174 --sha-w C:\Program Files\desktop.ini
2008-06-24 08:15 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-06-24 08:15 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-06-12 05:28 541,696 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-05-27 05:21 1,582,592 ----a-w C:\Windows\System32\tquery.dll
2008-05-27 05:21 1,418,240 ----a-w C:\Windows\System32\mssrch.dll
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\SearchFilterHost.exe
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\mssitlb.dll
2008-05-27 05:17 754,176 ----a-w C:\Windows\System32\propsys.dll
2008-05-27 05:17 60,416 ----a-w C:\Windows\System32\msscntrs.dll
2008-05-27 05:17 6,103,040 ----a-w C:\Windows\System32\chtbrkr.dll
2008-05-27 05:17 34,816 ----a-w C:\Windows\System32\msscb.dll
2008-05-27 05:17 32,768 ----a-w C:\Windows\System32\mssprxy.dll
2008-05-27 05:17 313,344 ----a-w C:\Windows\System32\thawbrkr.dll
2008-05-27 05:17 301,568 ----a-w C:\Windows\System32\srchadmin.dll
2008-05-27 05:17 194,560 ----a-w C:\Windows\System32\offfilt.dll
2008-05-27 05:17 143,872 ----a-w C:\Windows\System32\korwbrkr.dll
2008-05-27 05:17 11,776 ----a-w C:\Windows\System32\msshooks.dll
2008-05-27 05:17 1,671,680 ----a-w C:\Windows\System32\chsbrkr.dll
2008-05-27 04:59 18,904 ----a-w C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-05-27 04:59 106,605 ----a-w C:\Windows\System32\StructuredQuerySchema.bin
2008-05-10 03:35 564,736 ----a-w C:\Windows\System32\emdmgmt.dll
2008-05-08 21:59 90,112 ----a-w C:\Windows\System32\wshext.dll
2008-05-08 21:59 430,080 ----a-w C:\Windows\System32\vbscript.dll
2008-05-08 21:59 180,224 ----a-w C:\Windows\System32\scrobj.dll
2008-05-08 21:59 172,032 ----a-w C:\Windows\System32\scrrun.dll
2008-05-08 21:59 155,648 ----a-w C:\Windows\System32\wscript.exe
2008-05-08 21:58 135,168 ----a-w C:\Windows\System32\cscript.exe
2004-11-12 11:49 207,872 ----a-w C:\Program Files\mozilla firefox\plugins\IN_MP3.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Note les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ehTray.exe”=“C:\Windows\ehome\ehTray.exe” [2008-01-19 09:33 125952]
“Sidebar”=“C:\Program Files\Windows Sidebar\sidebar.exe” [2008-01-19 09:33 1233920]
“NVIDIA nTune”=“C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe” [2007-09-04 19:25 81920]
“MSSMSGS”=“winxgo32.rom” [2008-08-29 15:40 33280 C:\Windows\System32\winxgo32.rom]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 22:16 39792]
“Launch LCDMon”=“C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe” [2007-04-18 11:34 774168]
“Launch LGDCore”=“C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe” [2007-04-18 11:55 1132056]
“NvCplDaemon”=“C:\Windows\system32\NvCpl.dll” [2008-05-03 05:46 13535776]
“NvMediaCenter”=“C:\Windows\system32\NvMcTray.dll” [2008-05-03 05:46 92704]
“SoundMAXPnP”=“C:\Program Files\Analog Devices\Core\smax4pnp.exe” [2006-12-18 21:34 868352]
“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-07-19 16:38 78008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“EnableUIADesktopToggle”= 0 (0x0)
“EnableLUA”= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PRISMAPI.DLL]
2005-11-16 16:57 450646 C:\Windows\System32\PRISMAPI.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“msacm.sl_anet”= C:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm
“vidc.yv12”= C:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
“vidc.divx”= C:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll
“vidc.iyuv”= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll
“vidc.yvu9”= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll
“vidc.uyvy”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll
“vidc.yuy2”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll
“vidc.yvyu”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll
“msacm.msaudio1”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm
“VIDC.XFR1”= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
“Sidebar”=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
“NvSvc”=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

[HKLM~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
“{3B2CB8D9-C06A-4D3B-844D-BA9BCE1C84C4}”= UDP:9052:BitComet 9052 TCP
“{7FF9E015-AD66-4722-AEBE-1C6EF7C69346}”= TCP:9052:BitComet 9052 UDP
“TCP Query User{FAB147FA-ED34-4959-BF1E-1491D2CC485E}C:\program files\bitcomet\bitcomet.exe”= UDP:C:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
“UDP Query User{22849820-82F6-46EF-9D89-7F4AB709F15F}C:\program files\bitcomet\bitcomet.exe”= TCP:C:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
“TCP Query User{469F3FA0-BE55-439F-9B7A-64417ECD6C0B}C:\program files\codemasters\le seigneur des anneaux online\lotroclient.exe”= UDP:C:\program files\codemasters\le seigneur des anneaux online\lotroclient.exe:lotroclient.exe
“UDP Query User{0D9FA8BC-133C-40C6-949F-7E7CFF3620FF}C:\program files\codemasters\le seigneur des anneaux online\lotroclient.exe”= TCP:C:\program files\codemasters\le seigneur des anneaux online\lotroclient.exe:lotroclient.exe
“TCP Query User{6A190C05-A0D7-4A49-BE56-70AE4B9AED69}C:\users\damien\desktop\company_of_heroes_patch_fr_1_20.exe”= UDP:C:\users\damien\desktop\company_of_heroes_patch_fr_1_20.exe:company_of_heroes_patch_fr_1_20.exe
“UDP Query User{84AD2408-754C-4D2C-BC7B-9DC33EB01C61}C:\users\damien\desktop\company_of_heroes_patch_fr_1_20.exe”= TCP:C:\users\damien\desktop\company_of_heroes_patch_fr_1_20.exe:company_of_heroes_patch_fr_1_20.exe
“TCP Query User{5EC2671D-C078-4C64-A522-7412D7A3846A}C:\users\damien\desktop\company_of_heroes_patch_1-3.exe”= UDP:C:\users\damien\desktop\company_of_heroes_patch_1-3.exe:company_of_heroes_patch_1-3.exe
“UDP Query User{6CD3334C-4A68-4EB0-973F-C1F27620D446}C:\users\damien\desktop\company_of_heroes_patch_1-3.exe”= TCP:C:\users\damien\desktop\company_of_heroes_patch_1-3.exe:company_of_heroes_patch_1-3.exe
“TCP Query User{4177EE4F-C5C4-4941-A18A-6E90C752A750}C:\users\damien\desktop\company_of_heroes_patch_1-2_to_1-3.exe”= UDP:C:\users\damien\desktop\company_of_heroes_patch_1-2_to_1-3.exe:company_of_heroes_patch_1-2_to_1-3.exe
“UDP Query User{CF7557ED-1060-45EF-9C79-6E343917DD4F}C:\users\damien\desktop\company_of_heroes_patch_1-2_to_1-3.exe”= TCP:C:\users\damien\desktop\company_of_heroes_patch_1-2_to_1-3.exe:company_of_heroes_patch_1-2_to_1-3.exe
“{E1DDDA66-2DAD-4727-A869-AA7DE9BE967C}”= UDP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent
“{65F061C8-8A2A-4740-856A-91640559C651}”= TCP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent
“{A5491510-8723-423D-85D9-16ABC7D033E3}”= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
“{2792E4EC-171B-49ED-89CF-6252A1AC95CD}”= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
“{2E6C621E-D409-4A3C-B771-3C878AB7E44D}”= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
“{9578CD5D-2976-4E65-8C30-3D66D0866511}”= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
“{69EADB3E-A48F-4459-9BCE-8CB0AC3E4ED4}”= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
“{06C4F2CE-3D69-4B90-A9C5-CDE920926662}”= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
“{95A2587A-45C7-4516-A5C7-B6D1F859DBA6}”= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
“{2CDA990D-0FC6-48A2-8A2B-A8EAE7DC9D44}”= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
“{3A6B835E-F2F1-4955-A39A-83081F7AE0E4}”= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
“TCP Query User{94C1ECA4-745A-4891-9F34-D951F830AAE6}C:\users\damien\desktop\wow-frfr-installer-downloader.exe”= UDP:C:\users\damien\desktop\wow-frfr-installer-downloader.exe:wow-frfr-installer-downloader.exe
“UDP Query User{CDE1DA49-8D4D-4ACC-BCFB-D432B92D3B27}C:\users\damien\desktop\wow-frfr-installer-downloader.exe”= TCP:C:\users\damien\desktop\wow-frfr-installer-downloader.exe:wow-frfr-installer-downloader.exe
“{FA7734A6-7F65-48FB-A274-E51C978C5A6A}”= UDP:3724:Blizzard Downloader
“{5071498C-66BF-4FF6-B84D-B1D6F637F52C}”= UDP:6112:Blizzard Downloader
“{CC221DFD-61B7-407E-A5D5-E2743DB6053A}”= UDP:C:\Program Files\Atari\Neverwinter Nights 2\nwn2main.exe:Neverwinter Nights 2 Main
“{822030E5-531D-4DB4-A63A-AABBB6FD6B93}”= TCP:C:\Program Files\Atari\Neverwinter Nights 2\nwn2main.exe:Neverwinter Nights 2 Main
“{7C60BACB-851A-468C-A975-5FF28E248114}”= UDP:C:\Program Files\Atari\Neverwinter Nights 2\nwn2main_amdxp.exe:Neverwinter Nights 2 AMD
“{52B66C93-FB7F-43D9-BDDA-A10298338683}”= TCP:C:\Program Files\Atari\Neverwinter Nights 2\nwn2main_amdxp.exe:Neverwinter Nights 2 AMD
“{185331FB-E9C4-4394-A80F-7A1549DE6278}”= UDP:C:\Program Files\Atari\Neverwinter Nights 2\nwupdate.exe:Neverwinter Nights 2 Updater
“{6320D17A-696F-4A5A-96C1-15E34A221062}”= TCP:C:\Program Files\Atari\Neverwinter Nights 2\nwupdate.exe:Neverwinter Nights 2 Updater
“{1BDE75C1-C874-43E9-9904-8B95451DAB35}”= UDP:C:\Program Files\Atari\Neverwinter Nights 2\nwn2server.exe:Neverwinter Nights 2 Server
“{09F28361-04BA-4687-A4DC-900F29DBF742}”= TCP:C:\Program Files\Atari\Neverwinter Nights 2\nwn2server.exe:Neverwinter Nights 2 Server
“{938A1F68-37B2-4B05-B1DB-D6264C34BFA9}”= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
“TCP Query User{25E0FAE5-EB9D-4887-BEC3-8532E197633A}C:\program files\codemasters\rf online;\rf.exe”= UDP:C:\program files\codemasters\rf online;\rf.exe:RFLauncher
“UDP Query User{FAD0F95A-DC93-42C8-BB10-A31CA6EAFB78}C:\program files\codemasters\rf online;\rf.exe”= TCP:C:\program files\codemasters\rf online;\rf.exe:RFLauncher
“TCP Query User{5A829D3A-97A4-4AFE-B2FE-A66225C9E57C}C:\program files\common files\nero\nero web\setupx.exe”= UDP:C:\program files\common files\nero\nero web\setupx.exe:Nero Installer
“UDP Query User{6A1BB185-E029-4279-986B-0F3309818243}C:\program files\common files\nero\nero web\setupx.exe”= TCP:C:\program files\common files\nero\nero web\setupx.exe:Nero Installer
“TCP Query User{B066D794-D398-4124-805A-574C5B007B7B}C:\program files\sony\station\launchpad\launchpad.exe”= UDP:C:\program files\sony\station\launchpad\launchpad.exe:LaunchPad
“UDP Query User{802FE977-DA4C-48AF-9897-6057FB418053}C:\program files\sony\station\launchpad\launchpad.exe”= TCP:C:\program files\sony\station\launchpad\launchpad.exe:LaunchPad
“TCP Query User{25FC9B26-0DD1-4777-92B7-46D4CF2A0170}C:\program files\xfire\xfire.exe”= UDP:C:\program files\xfire\xfire.exe:Xfire
“UDP Query User{BA4CF34D-B81E-4DA1-A128-F5658DBE6EB5}C:\program files\xfire\xfire.exe”= TCP:C:\program files\xfire\xfire.exe:Xfire
“TCP Query User{9854FF93-E92C-42DF-9463-07700F4294A8}C:\program files\emule\emule.exe”= UDP:C:\program files\emule\emule.exe:eMule
“UDP Query User{CAD2801E-F8AF-4A63-8392-0F61DFF26132}C:\program files\emule\emule.exe”= TCP:C:\program files\emule\emule.exe:eMule
“TCP Query User{F2CE9A1E-3145-467D-A0E8-C97219E23AC3}C:\windows\temp\navbrowser.exe”= UDP:C:\windows\temp\navbrowser.exe:navbrowser.exe
“UDP Query User{8A9B137D-2196-4CCE-86C0-50C71623F2CC}C:\windows\temp\navbrowser.exe”= TCP:C:\windows\temp\navbrowser.exe:navbrowser.exe
“TCP Query User{FE20476A-34FA-499C-B187-E05218A309B8}C:\program files\thq\frontlines-fuel of war beta\binaries\ffow-beta.exe”= UDP:C:\program files\thq\frontlines-fuel of war beta\binaries\ffow-beta.exe:Frontlines Game
“UDP Query User{C5380C8D-0917-4AB4-8EC0-DB220E595820}C:\program files\thq\frontlines-fuel of war beta\binaries\ffow-beta.exe”= TCP:C:\program files\thq\frontlines-fuel of war beta\binaries\ffow-beta.exe:Frontlines Game
“{E08F6C01-9DB3-462C-862B-70F3E683E1D9}”= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty® 4 - Modern Warfare™
“{64A1684D-2DFC-42A9-8E9B-6A34E5928CFE}”= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty® 4 - Modern Warfare™
“{4D627972-29D3-4108-AA24-8FC09EDCAD8B}”= UDP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent
“{0E4CBE3E-1A52-45D7-8FD5-FA5F4BBD7529}”= TCP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent
“TCP Query User{5A8D12EC-0989-4147-A525-33A25BC24D6C}C:\program files\xfire\xfire.exe”= UDP:C:\program files\xfire\xfire.exe:Xfire
“UDP Query User{95C1A641-8959-4AB8-BEC8-C6FE1C08909B}C:\program files\xfire\xfire.exe”= TCP:C:\program files\xfire\xfire.exe:Xfire
“{2F212F9A-2B42-4AFE-B7EC-CA416EA832F0}”= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
“{C48CD45F-E4B1-41B3-AC76-3F22AB7499D8}”= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
“{C7248625-7A33-431F-8C73-E8390ECDC0D8}”= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
“{2D194D10-6A45-444E-9ACA-5A419FC72637}”= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
“{F4D791FF-F584-4B23-BA25-638481CDCAE5}”= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty® 4 - Modern Warfare™
“{A55C07C4-0BEA-44BD-B4CD-593A0D9D84E2}”= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty® 4 - Modern Warfare™
“{4ED5893E-B57D-4A9D-BD4B-A86CC2811AF3}”= UDP:C:\Program Files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts
“{B813227B-8D8B-4E8C-BDAD-57E19AE25E54}”= TCP:C:\Program Files\THQ\Company of Heroes\RelicCOH.exe:Company of Heroes - Opposing Fronts
“TCP Query User{84E3F1C2-5124-4C0C-BC5D-0F4380306F3A}C:\program files\thq\company of heroes\reliccoh.exe”= UDP:C:\program files\thq\company of heroes\reliccoh.exe:RelicCOH
“UDP Query User{287A018C-42B0-49E9-BDFD-4D45CD8B4EE1}C:\program files\thq\company of heroes\reliccoh.exe”= TCP:C:\program files\thq\company of heroes\reliccoh.exe:RelicCOH
“{DECC8098-BA78-418D-9D2C-FD3125E6602A}”= UDP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
“{914E687D-1843-4609-A678-42EB580648C3}”= TCP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (UDP-In)

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 16:36]
R2 TimerStop;TimerStop;C:\Windows\system32\timerstop.sys [2006-12-22 17:44]
S0 OemBiosDevice;Royalty OEM Bios Extension;C:\Windows\system32\drivers\royal.sys [2008-06-24 10:35]
S3 s125bus;Sony Ericsson Device 125 driver (WDM);C:\Windows\system32\DRIVERS\s125bus.sys [2007-04-24 12:33]
S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;C:\Windows\system32\DRIVERS\s125mdfl.sys [2007-04-24 12:33]
S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;C:\Windows\system32\DRIVERS\s125mdm.sys [2007-04-24 12:33]
S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);C:\Windows\system32\DRIVERS\s125mgmt.sys [2007-04-24 12:33]
S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;C:\Windows\system32\DRIVERS\s125obex.sys [2007-04-24 12:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{2c81e25d-62a9-11dc-9f3e-000b6b9b4c89}]
\shell\AutoRun\command - E:\Launch.exe
.
Contenu du dossier ‘Scheduled Tasks/Tâches planifiées’

2008-08-31 C:\Windows\Tasks\Maintenance en 1 clic.job

  • C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe []
    .
        • ORPHANS REMOVED - - - -

ShellExecuteHooks-{D6AEEADC-7733-4AA6-9CC3-2A0415F73416} - (no file)

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\z0b0lwmf.default
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.orange.fr…
.


catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2008-08-31 20:12:38
Windows 6.0.6001 Service Pack 1 NTFS

Balayage processus cachés …

Balayage caché autostart entries …

Balayage des fichiers cachés …

Scan terminé avec succès
Les fichiers cachés: 0


.
Temps d’accomplissement: 2008-08-31 20:13:36
ComboFix-quarantined-files.txt 2008-08-31 18:13:31

Pre-Run: 39,844,978,688 octets libres
Post-Run: 39,808,643,072 octets libres

239 — E O F — 2008-08-27 08:31:18

Upload c’est fichier sur virus total et post les rapport
Edité le 31/08/2008 à 20:31

=>C:\Windows\System32\winxgo32.rom :
Fichier winxgo32.rom reçu le 2008.08.30 12:13:40 (CET)
Situation actuelle: terminé
Résultat: 10/36 (27.78%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Spy.Gen
Authentium - - -
Avast - - -
AVG - - Agent_r.AL
BitDefender - - Trojan.Crypt.FD
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - Trojan.Crypt.FD
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Nebuler.gen!D
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
PCTools - - -
Prevx1 - - Cloaked Malware
Rising - - Trojan.DL.Win32.Undef.ann
Sophos - - -
Sunbelt - - -
Symantec - - Backdoor.Trojan
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Spy.Gen
Information additionnelle
MD5: 0da3ab1a6834bb5a2cb7b562d47b06c1
SHA1: eb9a31ec90eedd728092e0fad9140025e53a3cb5
SHA256: ed38a7c42b3ddfc1ace9644c8d601fe47b34f589e998849fc480f20070135fb8
SHA512: 4bbf0e874d5303de7112ed0c516fe788ea6d464ea10dbc1e550e54aae01ee613c9d0b9458153cb83fde06

=>C:\Windows\System32\MSCHRT20.OCX :
Fichier MSCHRT20.OCX reçu le 2008.08.31 21:01:11 (CET)
Situation actuelle: en cours de chargement … mis en file d’attente en attente en cours d’analyse terminé NON TROUVE ARRETE
Résultat: 0/35 (0%)
en train de charger les informations du serveur…
Votre fichier est dans la file d’attente, en position: 1.
L’heure estimée de démarrage est entre 37 et 53 secondes.
Ne fermez pas la fenêtre avant la fin de l’analyse.
L’analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d’analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n’existe pas.
Le service est en ce moment, stoppé, votre fichier attend d’être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer “Demande” pour que le système vous envoie une notification quand l’analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.31 -
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.08.30 -
BitDefender 7.2 2008.08.31 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 -
F-Secure 7.60.13501.0 2008.08.31 -
Fortinet 3.14.0.0 2008.08.31 -
GData 19 2008.08.31 -
Ikarus T3.1.1.34.0 2008.08.31 -
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.08.31 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.08.31 -
Rising 20.59.61.00 2008.08.31 -
Sophos 4.33.0 2008.08.31 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.31 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.31 -
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.31 -
Information additionnelle
File size: 1010720 bytes
MD5…: 38ce0c8fcd78d00fd717ce3a91214cbc
SHA1…: 953b182806a8ddcde48b033537e3432a56d1cf39
SHA256: de49eb9f935416cc57a1b590cca686e4a14e7b3cbbde10b8ff7fb88642a215ce
SHA512: bd7c0319953c5280d1e0f961cd6324c70c4949c0db0aa1cd77c27a8a1abfd6e5
92164a8888e3a06b5b127614d9b9caf1dfcae95b9e50216547a8e8ffb1f00006
PEiD…: -
TrID…: File type identification
DirectShow filter (45.8%)
Windows OCX File (28.0%)
Win32 EXE PECompact compressed (generic) (9.4%)
Win32 Executable MS Visual C++ (generic) (8.5%)
Windows Screen Saver (2.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x284afa9d
timedatestamp…: 0x38ce7971 (Tue Mar 14 17:40:01 2000)
machinetype…: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x94070 0x94200 6.65 b468ac09b56dd0b5041554c08093bc66
.rdata 0x96000 0xd220 0xd400 6.08 0a915bc411cd3eb264e86723a8b2d7dc
.data 0xa4000 0xb06c 0xae00 2.94 3cc2ea91dafb5c8719ebeb37467d8c13
.idata 0xb0000 0x1db6 0x1e00 5.52 eca60c461daed5bdeb08f3629f7e1185
.rsrc 0xb2000 0x3b6ec 0x3b800 4.65 431d019d72b7c51e15b94c31ffc98730
.reloc 0xee000 0xae58 0xb000 6.54 0d43a213d0c93b9f39a4b2732508d78e

( 7 imports )

KERNEL32.dll: CreateFileA, GetFileSize, ReadFile, MulDiv, GetSystemTime, GetLocalTime, CompareStringW, CompareStringA, GetVersionExA, IsDBCSLeadByte, GlobalSize, GlobalAlloc, lstrcmpA, GetStringTypeW, GetStringTypeA, GetModuleFileNameA, lstrcatA, LCMapStringW, LCMapStringA, VirtualAlloc, WriteFile, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, GetACP, SetEnvironmentVariableA, CloseHandle, FlushFileBuffers, GetLocaleInfoW, GetTimeZoneInformation, SetStdHandle, SetFilePointer, HeapSize, RaiseException, GetUserDefaultLCID, EnumSystemLocalesA, IsValidCodePage, IsValidLocale, GlobalReAlloc, HeapCompact, FreeEnvironmentStringsA, GetOEMCP, GetCPInfo, lstrcpynA, lstrlenA, MultiByteToWideChar, GlobalLock, GlobalUnlock, GlobalFree, lstrlenW, WideCharToMultiByte, FreeLibrary, GetProcessHeap, HeapAlloc, VirtualFree, HeapCreate, HeapDestroy, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, GetCurrentProcess, TerminateProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, GetFileAttributesA, DisableThreadLibraryCalls, HeapFree, GetVersion, InitializeCriticalSection, LoadResource, DeleteCriticalSection, FindResourceA, lstrcmpiA, LockResource, GetLastError, InterlockedIncrement, HeapReAlloc, InterlockedDecrement, LoadLibraryA, GetProcAddress, GetLocaleInfoA, GetWindowsDirectoryA, EnterCriticalSection, LeaveCriticalSection, lstrcpyA
USER32.dll: SetCursorPos, RegisterClipboardFormatA, LoadStringA, RegisterClassA, GetDialogBaseUnits, FillRect, DefWindowProcA, LoadCursorA, RegisterWindowMessageA, PeekMessageA, PostMessageA, PostMessageW, PeekMessageW, GetClipboardFormatNameA, GetSysColor, ScreenToClient, CharLowerBuffA, LoadBitmapA, MessageBoxA, DrawFocusRect, SetClipboardData, DrawTextA, GetWindowTextA, GetWindowTextLengthA, SetWindowTextA, IsWindow, FrameRect, GetDesktopWindow, KillTimer, SetTimer, WindowFromPoint, HideCaret, ChildWindowFromPoint, SetCursor, GetClassInfoA, GetClassNameA, GetCursor, GetUpdateRect, UpdateWindow, GetDoubleClickTime, ClientToScreen, GetWindowRect, ReleaseCapture, PtInRect, SetCapture, SetWindowPos, SetWindowLongA, GetClientRect, OffsetRect, MapWindowPoints, GetCursorPos, GetWindowLongA, EnableWindow, UnregisterClassA, InvalidateRect, GetCapture, GetFocus, CreateDialogIndirectParamA, IsChild, IsWindowEnabled, GetNextDlgTabItem, IsDialogMessageA, WinHelpA, GetKeyState, CallWindowProcA, ShowWindow, SetWindowRgn, IntersectRect, EqualRect, DialogBoxIndirectParamA, EndDialog, CreateWindowExA, GetSystemMetrics, GetActiveWindow, MoveWindow, SendMessageA, SetFocus, BeginPaint, EndPaint, SetParent, IsWindowVisible, wsprintfA, DestroyWindow, CharNextA, GetDC, ReleaseDC, GetDlgItem, GetDlgItemTextA, GetWindow, GetParent, GetDlgCtrlID
ole32.dll: ReleaseStgMedium, CoTaskMemFree, OleGetClipboard, DoDragDrop, OleSetClipboard, OleUninitialize, OleInitialize, OleFlushClipboard, CreateOleAdviseHolder, CoTaskMemAlloc, CoCreateInstance, RevokeDragDrop, RegisterDragDrop
ADVAPI32.dll: RegEnumKeyExA, RegQueryValueA, RegOpenKeyA, RegQueryValueExA, RegDeleteValueA, RegDeleteKeyA, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
comdlg32.dll: ChooseColorA
GDI32.dll: GetTextExtentPoint32A, GetGlyphOutlineA, GetCharABCWidthsA, Polyline, DeleteMetaFile, Pie, RestoreDC, DeleteDC, DeleteObject, SelectObject, CreateCompatibleBitmap, BitBlt, GetDeviceCaps, CreateSolidBrush, CreateCompatibleDC, CreateRectRgnIndirect, GetViewportExtEx, SaveDC, LPtoDP, SetMapMode, GetWindowExtEx, Polygon, SetWindowExtEx, SetViewportOrgEx, SetWindowOrgEx, CreateDCA, GetStockObject, GetPaletteEntries, GetDIBits, RealizePalette, SelectPalette, GetObjectA, CreateDIBitmap, CreateBitmap, GetBitmapBits, StretchDIBits, CopyEnhMetaFileA, SetMetaFileBitsEx, GetTextMetricsA, GetBkMode, CreatePatternBrush, CreateHatchBrush, CreateBrushIndirect, CreatePenIndirect, CreateFontIndirectA, EnumFontFamiliesA, ExtTextOutA, GetKerningPairsA, SetPolyFillMode, SetROP2, SetBkMode, SetBkColor, SetTextColor, CopyMetaFileA, IntersectClipRect, SetPixel, LineTo, MoveToEx, Rectangle, Ellipse, Chord, Arc, SetViewportExtEx, UpdateColors, CreateMetaFileA, Escape, CloseMetaFile, GetPixel, DPtoLP, CreatePalette, GetNearestColor, GetOutlineTextMetricsA, CreatePen, UnrealizeObject, SetBrushOrgEx, OffsetViewportOrgEx, PlayMetaFile, GetMetaFileBitsEx, StretchBlt, SetTextAlign, TextOutA, PolyPolygon

( 5 exports )
DLLGetDocumentation, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

=>C:\Windows\System32\drivers\Entech.sys :
Le fichier a déjà été analysé:
MD5: 16ebd8bf1d5090923694cc972c7ce1b4
First received: 2008.04.30 23:02:00 (CET)
Date 2008.08.26 04:53:47 (CET) [>5D]
Résultats 1/36
Permalink: analisis/0604aa25063954e822d511605b31919a

=>C:\Users\Damien\AppData\Roaming\mdb.bin :
Fichier mdb.bin reçu le 2008.08.31 21:05:02 (CET)
Situation actuelle: terminé
Résultat: 0/36 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.31 -
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.08.31 -
BitDefender 7.2 2008.08.31 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 -
F-Secure 7.60.13501.0 2008.08.31 -
Fortinet 3.14.0.0 2008.08.31 -
GData 19 2008.08.31 -
Ikarus T3.1.1.34.0 2008.08.31 -
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.08.31 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.08.31 -
Rising 20.59.61.00 2008.08.31 -
Sophos 4.33.0 2008.08.31 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.31 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.31 -
VBA32 3.12.8.4 2008.08.30 -
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.31 -
Information additionnelle
File size: 296777 bytes
MD5…: 1d1c216b63d888179edb8926931d9ac6
SHA1…: 01c2c97fe51f4d265d1ce069c3bce46bbc213c0b
SHA256: 1c2fe73a2457d523b66b1164baf900c9b79a6bbd793df3390d546188c02cd271
SHA512: 03564f74c9e9dd796bf0bdbc4614557798a0b3f1786ac198e4a9aa29cf928b50
e0b1db843973766ddf0f8e8fa4040c14f72cf09c5ac759180067c381a53f0086
PEiD…: -
TrID…: File type identification
Unknown!
PEInfo: -

=>C:\Users\Damien\AppData\Roaming\PnkBstrK.sys
Le fichier a déjà été analysé:
MD5: a719b9ee6116b496f4000c0b1311ea13
First received: 2007.10.29 07:32:39 (CET)
Date 2008.07.23 09:28:20 (CET) [>39D]
Résultats 1/34
Permalink: analisis/1dae87d7b1b3c8b9a784a90dd6bd00d6

=>C:\Windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
0 bytes size received / Se ha recibido un archivo vacio

=>C:\Windows\System32\StructuredQuerySchemaTrivial.bin
Fichier StructuredQuerySchemaTrivial.bin reçu le 2008.08.31 21:10:53 (CET)
Situation actuelle: en cours de chargement … mis en file d’attente en attente en cours d’analyse terminé NON TROUVE ARRETE
Résultat: 0/35 (0%)
en train de charger les informations du serveur…
Votre fichier est dans la file d’attente, en position: 1.
L’heure estimée de démarrage est entre 37 et 53 secondes.
Ne fermez pas la fenêtre avant la fin de l’analyse.
L’analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d’analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n’existe pas.
Le service est en ce moment, stoppé, votre fichier attend d’être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer “Demande” pour que le système vous envoie une notification quand l’analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.31 -
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.08.31 -
BitDefender 7.2 2008.08.31 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 -
F-Secure 7.60.13501.0 2008.08.31 -
Fortinet 3.14.0.0 2008.08.31 -
GData 19 2008.08.31 -
Ikarus T3.1.1.34.0 2008.08.31 -
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.08.31 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.08.31 -
Rising 20.59.61.00 2008.08.31 -
Sophos 4.33.0 2008.08.31 -
Sunbelt 3.1.1592.1 2008.08.30 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.31 -
VBA32 3.12.8.4 2008.08.30 -
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.31 -
Information additionnelle
File size: 18904 bytes
MD5…: d07e5384d2b4e71f7d49c9f334d69284
SHA1…: 74da4e0ac77b09067041208bf281f3869fab2866
SHA256: 241bb8b97e21b1b7c1e1418ad77d59efc808e44a1e7949b67a9850de2a1c8850
SHA512: 0fcba088a2784773ded990f1d9e64da20eb910eaa0bbf8f9692e7a4e31a032ec
9adee6dd592ca0e6a6913693b5d0327a6a80bd324a9fb670f159843462ea403c
PEiD…: -
TrID…: File type identification
Unknown!
PEInfo: -

=>C:\Windows\System32\StructuredQuerySchema.bin
Fichier StructuredQuerySchema.bin reçu le 2008.08.31 21:14:13 (CET)
Situation actuelle: en cours de chargement … mis en file d’attente en attente en cours d’analyse terminé NON TROUVE ARRETE
Résultat: 0/36 (0%)
en train de charger les informations du serveur…
Votre fichier est dans la file d’attente, en position: 4.
L’heure estimée de démarrage est entre 51 et 73 secondes.
Ne fermez pas la fenêtre avant la fin de l’analyse.
L’analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d’analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n’existe pas.
Le service est en ce moment, stoppé, votre fichier attend d’être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer “Demande” pour que le système vous envoie une notification quand l’analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.31 -
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.31 -
AVG 8.0.0.161 2008.08.31 -
BitDefender 7.2 2008.08.31 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 -
F-Secure 7.60.13501.0 2008.08.31 -
Fortinet 3.14.0.0 2008.08.31 -
GData 19 2008.08.31 -
Ikarus T3.1.1.34.0 2008.08.31 -
K7AntiVirus 7.10.433 2008.08.30 -
Kaspersky 7.0.0.125 2008.08.31 -
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.08.31 -
Rising 20.59.61.00 2008.08.31 -
Sophos 4.33.0 2008.08.31 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.31 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.31 -
VBA32 3.12.8.4 2008.08.31 -
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.31 -
Information additionnelle
File size: 106605 bytes
MD5…: 1f0dc7dee80ac47edc207fab5ed54da2
SHA1…: be42e9d89b9cf91d1847829181715278f9835cd1
SHA256: 414a797106bb180b75627e5319a0fe0ebc3f2d1755dd4b4382b2407fadd9d591
SHA512: beab06203695274aa0869c08e8cd5fc2b49a3a0b999cf4d91bcc7ee60ea4486b
7851ec91d56ba57dc90df1c398803594c5a4a53019d15b616af9292f40c081a9
PEiD…: -
TrID…: File type identification
Unknown!
PEInfo: -

=>C:\Windows\System32\emdmgmt.dll
Le fichier a déjà été analysé:
MD5: 669019c26c94c013c889c0e5cf087c69
First received: -
Date 2008.08.02 11:43:48 (CET) [>29D]
Résultats 0/36
Permalink: analisis/551e63a9650f419309c17ccc44cff4f9

Pour les trois premeirs , les fichiers etaient vides donc je les ai supprimé

Pour ceux déja analyser renvoi les et fait ré analyser :wink:

=>C:\Windows\System32\drivers\Entech.sys :
Fichier ENTECH.sys reçu le 2008.08.26 04:51:55 (CET)
Situation actuelle: terminé
Résultat: 1/36 (2.78%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 -
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.26 -
BitDefender 7.2 2008.08.26 -
CAT-QuickHeal 9.50 2008.08.25 -
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6048 2008.08.25 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.25 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3387 2008.08.26 -
Norman 5.80.02 2008.08.25 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.26 -
Rising 20.59.02.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2008.8.25.1348 2008.08.25 -
VirusBuster 4.5.11.0 2008.08.25 -
Webwasher-Gateway 6.6.2 2008.08.25 -
Information additionnelle
File size: 27672 bytes
MD5…: 16ebd8bf1d5090923694cc972c7ce1b4
SHA1…: 777d4b6d3fc3a064e31674a2b0949af928729a1f
SHA256: 0d40ebfebcd78fa72cb82f9bad22a2872eb81dcc072be1bb61bebe074d6a4a21
SHA512: eef0799477f85c69b955a1f6d61fdefc8349851faa7879e4719f7e8f4a6faab9
377a2761be05157aca7e98e17928c7a31c90191cef388da119a96bc134224074
PEiD…: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13568
timedatestamp…: 0x46404823 (Tue May 08 09:51:31 2007)
machinetype…: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x26c2 0x26e0 6.32 9ba61f6bf8342d54ae9b182bfbb3fef1
.data 0x29e0 0xb8 0xc0 2.72 f599ecd29a4627f35a884004a8dcd09c
.CRT 0x2aa0 0xc 0x20 0.60 466a12ddfaaeb9e416f6fe229eb22fd1
.STL 0x2ac0 0x10 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
PAGE 0x2ae0 0x94e 0x960 6.11 daf23ed1bf286092d17c47306f538153
INIT 0x3440 0x9a8 0x9c0 6.13 367daaf5afe0a2baa46f0a435a6fca92
.rsrc 0x3e00 0x3a0 0x3a0 3.25 030a58142c2c31ef6c4e7a0a9acd5a80
.reloc 0x41a0 0x57a 0x580 4.46 3cee900399c1e57b0ae004540420a454

( 3 imports )

VIDEOPRT.SYS: VideoPortInt10, VideoPortReadRegisterUchar
ntoskrnl.exe: KeInitializeSpinLock, IofCompleteRequest, MmUnmapLockedPages, IoFreeMdl, ObfDereferenceObject, KeSetEvent, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoAllocateMdl, MmMapLockedPages, MmBuildMdlForNonPagedPool, ZwClose, RtlInitUnicodeString, KeInitializeDpc, KeSynchronizeExecution, KeInsertQueueDpc, IoDetachDevice, IofCallDriver, IoGetCurrentProcess, KeDetachProcess, KeAttachProcess, MmGetPhysicalAddress, MmMapIoSpace, ExAllocatePool, MmUnmapIoSpace, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, IoCreateDevice, IoAttachDevice, IoRegisterShutdownNotification, IoUnregisterShutdownNotification, memmove, RtlIntegerToUnicodeString, ObReferenceObjectByHandle, ZwMapViewOfSection, ZwOpenSection, ZwUnmapViewOfSection, ZwOpenKey, ZwCreateKey, IoConnectInterrupt, IoDisconnectInterrupt, Ke386CallBios, ExFreePool, ExAllocatePoolWithTag, RtlAppendUnicodeStringToString
HAL.dll: KfReleaseSpinLock, HalGetBusData, HalGetInterruptVector, HalTranslateBusAddress, KfAcquireSpinLock, HalGetBusDataByOffset

( 0 exports )

=>C:\Users\Damien\AppData\Roaming\PnkBstrK.sys
Fichier PnkBstrK.sys reçu le 2008.07.23 09:28:20 (CET)
Situation actuelle: terminé
Résultat: 1/34 (2.94%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - Signed-AdWare.Win32.AdMedia.al
VirusBuster - - -
Webwasher-Gateway - - -
Information additionnelle
MD5: a719b9ee6116b496f4000c0b1311ea13
SHA1: 9203d5069d8aa0a6871dda2d25cd7d18210197d1
SHA256: a1d238841092a251efed8650abc3588a8c60351ee5f0f0a9e07b07d5b1b93270
SHA512: 5415dff5d48547480d9e9515543232fbac40b8337f372edc25167ec4751de74345ef7002dab9d77d74aa4d3ba6aa5e611192dfaa037650d4f751f59abc1a20f1

=>C:\Windows\System32\emdmgmt.dll
Fichier emdmgmt.dll reçu le 2008.08.02 11:43:02 (CET)
Situation actuelle: terminé
Résultat: 0/36 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.08.01 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.08.01 -
Avast 4.8.1195.0 2008.08.01 -
AVG 8.0.0.156 2008.08.01 -
BitDefender 7.2 2008.08.02 -
CAT-QuickHeal 9.50 2008.08.01 -
ClamAV 0.93.1 2008.08.02 -
DrWeb 4.44.0.09170 2008.08.02 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.02 -
F-Prot 4.4.4.56 2008.08.01 -
F-Secure 7.60.13501.0 2008.08.02 -
Fortinet 3.14.0.0 2008.08.02 -
GData 2.0.7306.1023 2008.08.02 -
Ikarus T3.1.1.34.0 2008.08.02 -
K7AntiVirus 7.10.402 2008.08.01 -
Kaspersky 7.0.0.125 2008.08.02 -
McAfee 5352 2008.08.01 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3318 2008.08.01 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.02 -
PCTools 4.4.2.0 2008.08.01 -
Prevx1 V2 2008.08.02 -
Rising 20.55.42.00 2008.08.02 -
Sophos 4.31.0 2008.08.02 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.02 -
TheHacker 6.2.96.391 2008.07.31 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.01 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.01 -
Webwasher-Gateway 6.6.2 2008.08.02 -
Information additionnelle
File size: 564736 bytes
MD5…: 669019c26c94c013c889c0e5cf087c69
SHA1…: c89eccb57a785a6a2bb3af40d935f63c337c2a0b
SHA256: 3947246383b61e2f32160adb036d3728b36eacf1c86b8559e5e2cc60afc2f5a3
SHA512: b238baec2f1c80acf0f1539c6b79b3dea3d65a8295e26e2456503b96c399ae47
233de32003dc4f6e138c1f9d654866eee60ba843537737031e5e369ab7e497cf
PEiD…: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x70651a62
timedatestamp…: 0x482516aa (Sat May 10 03:29:46 2008)
machinetype…: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32054 0x32200 6.56 d64f7479b358a775fbd86c2fa1aa938e
.data 0x34000 0x3b1c8 0x3b000 0.04 df0840d1afcb76cf6558a187f2bfd084
.rsrc 0x70000 0x1a2c8 0x1a400 7.31 ffa4f3b5ccb57b14e3a4d5504150f03e
.reloc 0x8b000 0x22ec 0x2400 6.70 6cb419896c15e2f2f64120415a2d0ec1

( 10 imports )

msvcrt.dll: _CIpow, memmove, _wcsicmp, time, srand, _wfopen, fclose, fprintf, _wtoi, rand, _wtof, _ftol2_sse, _CIsqrt, qsort, wcstok, wcstoul, wcsncmp, _iob, vfprintf, _ftol2, wcstod, wcsstr, _onexit, _lock, __dllonexit, _unlock, _errno, realloc, _except_handler4_common, __1type_info@@UAE@XZ, _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _callnewh, __0exception@@QAE@XZ, memcpy, _wcsnicmp, __0exception@@QAE@ABV0@@Z, __1exception@@UAE@XZ, _what@exception@@UBEPBDXZ, __0exception@@QAE@ABQBD@Z, memmove_s, _purecall, __CxxFrameHandler3, memset, _vsnwprintf, wcscat_s, wcsncpy_s, wcscpy_s, _CxxThrowException, memcpy_s, free, malloc
KERNEL32.dll: FindFirstFileW, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, SetThreadLocale, GetThreadLocale, LoadLibraryA, GetTimeFormatW, GetDateFormatW, SystemTimeToTzSpecificLocalTime, DeleteFileW, FormatMessageW, Sleep, InterlockedCompareExchange, GetVersionExA, InterlockedExchange, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, FindNextFileW, FindClose, InterlockedDecrement, InterlockedIncrement, FreeLibrary, DisableThreadLibraryCalls, CreateEventW, CloseHandle, LoadLibraryExW, ResetEvent, OutputDebugStringA, GetModuleFileNameW, SetLastError, LoadLibraryW, SetEvent, lstrcmpiW, GetLastError, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, lstrlenW, GetVersion, GetFileAttributesW, GetProcAddress, GetModuleHandleW, ExpandEnvironmentStringsW, CreateDirectoryW, GetModuleHandleA, FileTimeToSystemTime, DelayLoadFailureHook, LocalFree, SetThreadPriority, GetThreadPriority, GetCurrentThread, DeviceIoControl, CreateWaitableTimerW, CancelWaitableTimer, SetWaitableTimer, WaitForSingleObject, WaitForMultipleObjects, CreateThread, GlobalMemoryStatusEx, CreateFileW, ReadFile, QueryDosDeviceW, GetVolumeInformationW, GetModuleHandleExW, GetWindowsDirectoryW, HeapCreate, HeapDestroy, HeapAlloc, HeapFree, QueryPerformanceFrequency, WriteFile, GetOverlappedResult, WaitForSingleObjectEx, VirtualFree, GetSystemTime, GetDiskFreeSpaceW, MoveFileExW, VirtualAlloc, HeapReAlloc, GetFileSizeEx, CancelIoEx, SetFilePointer, GetTempFileNameW, GetDriveTypeW, CancelIo, WaitForMultipleObjectsEx, GetProcessHeap, SetFileAttributesW, OpenThread, GetFileSize, SetFileInformationByHandle
USER32.dll: EnumChildWindows, GetDlgItem, ShowWindow, EnableWindow, GetWindowLongW, SetWindowLongW, LoadStringW, SetTimer, GetMessageW, TranslateMessage, DispatchMessageW, KillTimer, CharNextW, GetClientRect, SendDlgItemMessageW, GetParent, SetWindowPos, UnregisterClassA, UnregisterDeviceNotification, RegisterDeviceNotificationW, LoadImageW, SetDlgItemInt, MessageBoxW, InvalidateRect, SetDlgItemTextW, SendMessageW, GetDlgItemInt, DestroyIcon, RegisterClipboardFormatW
ADVAPI32.dll: RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableFlags, GetTraceEnableLevel, UnregisterTraceGuids, RegisterIdleTask, UnregisterIdleTask, RegCreateKeyW, InitializeAcl, AddAccessAllowedAceEx, SetNamedSecurityInfoW, SetSecurityInfo, LookupPrivilegeValueW, AdjustTokenPrivileges, GetLengthSid, RegQueryValueExW, RegisterServiceCtrlHandlerExW, RegEnumValueW, RegEnumKeyExW, SetServiceStatus, RegQueryInfoKeyW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, FreeSid, LookupAccountSidW, AllocateAndInitializeSid, ConvertStringSecurityDescriptorToSecurityDescriptorW, EventUnregister, EventRegister, EventWrite, EventEnabled, ControlTraceW, CloseTrace, ProcessTrace, OpenTraceW, CheckTokenMembership, OpenThreadToken
WDSCORE.dll: WdsSetupLogMessageW, CurrentIP, ConstructPartialMsgVW
SLWGA.dll: SLIsGenuineLocal
slc.dll: SLGetWindowsInformationDWORD
RPCRT4.dll: NdrServerCall2, RpcServerRegisterAuthInfoW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerInqBindings, RpcEpRegisterW, RpcBindingToStringBindingW, RpcStringBindingParseW, RpcImpersonateClient, RpcRevertToSelf, RpcEpUnregister, RpcServerUnregisterIfEx, RpcBindingVectorFree, RpcStringBindingComposeW, RpcBindingFromStringBindingW, RpcServerInqDefaultPrincNameW, RpcStringFreeW, RpcBindingSetAuthInfoExW, RpcBindingFree, NdrClientCall2
SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInterfaceDetailW, SetupDiEnumDeviceInterfaces, SetupDiGetClassDevsW
ntdll.dll: WinSqmIsOptedIn, RtlNtStatusToDosError, NtQueryVolumeInformationFile, NtQueryObject, DbgPrint, NtOpenFile, RtlInitUnicodeString, RtlCompareMemory, RtlComputeCrc32, WinSqmEndSession, WinSqmStartSession, WinSqmEventWrite, WinSqmEventEnabled, WinSqmAddToStream, WinSqmSetString, NtSetInformationThread, NtQueryInformationThread, NtQuerySystemInformation, NtOpenEvent, RtlDecompressBuffer, NtClose, RtlGetVersion

( 13 exports )
CloseEmdPerf, CollectEmdPerf, DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, EMDMgmtGetCacheStats, EMDMgmtLaunchEMDUIW, EMDMgmtLaunchPropertiesW, EMDMgmtQueryIsEMDActive, EMDMgmtServiceMain, EMDMgmtSysPrep, OpenEmdPerf

Ok télécharge ce fichier
Démarre en mode sans échec
Fait glisser le fichier sur combofix

Laisse travailler puis colle le rapport

Profite en pour fixer ce qui na pas marcher tout a lheure :wink:
Edité le 31/08/2008 à 21:37

Comment ca fixer ? stp

www.clubic.com…
Les ligne dans hijackthis :wink:

oki :wink: