Infection Bagle

[settoken]

Bonsoir ou bonjour j'ai un probleme

HLDRRR.exe je crois que c'est son nom
j'ai fait l'erreur de telecharger un crack sur emule et hop mon pc a planté, redémarrage et avast ne se lance plus, plus de spybot non plus, le seul qui resiste c'est zone alarm qui me signal justement une tentative de connexion inhabituelle de la part du processus HLDRRR.exe...

J'ai tué ce processus via le gestionnaire des taches et apres quelques recherches j'ai scanné mon disque C avec ELIBAGLA qui me détecte que supercopier est infecté.
Apparement il va se nicher dans les programmes qui se lancent au démarrage de windows.

Donc voilà je ne sais pas du tout utiliser les rapports d'analyse qu'on obtient avec IJACKTHIS et ce genre de trucs, donc si quelqu'un qui s'y connait pouvait me filer un coup de main ce serait tres apprécié

D'avance merci

[Skynet]

Salut,

pfffffffff , c'est pas la 1ère fois que tu viens ici pour une infection.

Tu vas devoir sérieusement revoir tes habitudes sur le net.

Quoi qu'on en dise, je t'assure que c'est vrai, qu'à 99% du temps,
on trouve un équivalent gratuit de même qualité et surtout légal !

Bref, je ne devrais pas mais as-tu essayé ceci :

http://securityresponse.symantec.com/av ... Beagle.exe

ou

http://www.f-secure.com/tools/f-bagle.exe

@+

[r@in | b0w]

Bonjour.

Allez, moi aussi, je fais dans le social

Tiens, à lire pour toi:

http://www.pc-infopratique.com/forum-in ... 34666.html

http://www.pc-infopratique.com/forum-in ... 39249.html

Il est important de se souvenir que cette infection s'attrape avec des cracks vérolés et que, tant que ce fichier vérolé se trouvera sur ta machine, Bagle se réinstallera à chaque lancement du fichier en question.

Avant de commencer le nettoyage, tu supprimes tous tes cracks et tu fais le ménage Poubelle-Prefetch avant!

Ps: et tu verras que pour un crack, Bagle est cher payé car très lourd à supprimer.

[settoken]

Bon jvous remercie pour ces petits liens, j'essaie de nettoyer
actuellement à l'aide de ce qui m'a été indiqué mais le probleme c'est que je ne peux plus voir les dossiers et fichiers cachés et un c"ertain nombre d'options dans "options des dossiers" ont tout simplement disparu...

Qu'est ce que je peux faire pour retrouver mes droits sur ma machine ??

[r@in | b0w]

Finir le nettoyage.

Au passage, il faut renommer tous les utilitaires que tu vas employer, Bagle les reconnait et les inhibe.

Choisir si possible un nouveau nom en relation avec Bagle comme HLDRRR.exe par exemple.

Ne pas tenter de redémarrer en Mode sans échec en utilisant msconfig sinon c'est le redémarrage infini.

Si tu veux vraiment toucher aux fichiers cachés, liveCd ou FileZilla (qui affiche tous les fichiers dans son interface).

[settoken]

J'ai scanné mon pc avec fxbeagle qui ne m'as rien détecté, et F-bagle "a rencontré un probleme et dois fermer"....

J'ai renommé les 2 exe avant de les lancer comme tu me l'as indiqué


Le scan en ligne Bitdefender ne parvient pas a charger les signatures de virus et le scan echoue dès son lancement.

Kspersky online scanner lui a bien fonctionné, voici ce que j'obtiens :


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, September 19, 2008 3:54:10 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 19/09/2008
Enregistrements dans la base antivirus Kaspersky : 1115317
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Dossiers:
C:

Statistiques de l'analyse:
Total d'objets analysés: 281079
Nombre de virus trouvés: 2
Nombre d'objets infectés: 5 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:44:34

Nom de l'objet infecté / Nom du virus / Dernière action
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultcert8.db L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultcontent-prefs.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultcookies.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultdownloads.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultformhistory.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultkey3.db L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultparent.lock L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultpermissions.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultplaces.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultplaces.sqlite-journal L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultsearch.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangCookiesindex.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftFeeds Cacheindex.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftMedia PlayerCurrentDatabase_360.wmdb L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftMessengersemetis@hotmail.f ... r00005.log L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftMessengersemetis@hotmail.f ... ending.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftMessengersemetis@hotmail.f ... ngdatabase_4654_E15D_54E1_506Bdfsr.db L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftMessengersemetis@hotmail.f ... ngdatabase_4654_E15D_54E1_506Bfsr.log L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftMessengersemetis@hotmail.f ... ngdatabase_4654_E15D_54E1_506Bfsrtmp.log L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftMessengersemetis@hotmail.f ... ngdatabase_4654_E15D_54E1_506B mp.edb L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftWindowsUsrClass.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftWindowsUsrClass.dat.LOG L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftWindows Live Contactssemetis@hotmail.fr ealmembers.stg L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMicrosoftWindows Live Contactssemetis@hotmail.frshadowmembers.stg L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultCache\_CACHE_001_ L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultCache\_CACHE_002_ L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultCache\_CACHE_003_ L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMozillaFirefoxProfiles1d8o4pw3.defaultCache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsApplication DataMozillaFirefoxProfiles1d8o4pw3.defaulturlclassifier3.sqlite L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsHistoriqueHistory.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsHistoriqueHistory.IE5MSHist012008091920080920index.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTempetilqs_XbmIX2xVNOHmGHQj1wS7 L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTempfla3918.tmp L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTempPerflib_Perfdata_240.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTemp~DF1E9B.tmp L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTemp~DF955B.tmp L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTemp~DF9702.tmp L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTemp~DFFF55.tmp L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTemp~DFFFBF.tmp L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangLocal SettingsTemporary Internet FilesContent.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangMes documentseMule DownloadsIncomingBytegeist Ghost Trails v3.0 for 3DSMAX 6-DES.zip/ghost_keygen.exe Infecté : Trojan-Dropper.Win32.KGen.gen ignoré
C:Documents and SettingsKhemet WangMes documentseMule DownloadsIncomingBytegeist Ghost Trails v3.0 for 3DSMAX 6-DES.zip ZIP: infecté - 1 ignoré
C:Documents and SettingsKhemet WangMes documentseMule DownloadsTemp01.part/Advanced Font Viewer 4.0.exe Infecté : Trojan-Downloader.Win32.Bagle.abq ignoré
C:Documents and SettingsKhemet WangMes documentseMule DownloadsTemp01.part ZIP: infecté - 1 ignoré
C:Documents and SettingsKhemet Wang
tuser.dat L'objet est verrouillé ignoré
C:Documents and SettingsKhemet WangNTUSER.DAT.LOG L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceCookiesindex.dat L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceLocal SettingsApplication DataMicrosoftWindowsUsrClass.dat L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceLocal SettingsApplication DataMicrosoftWindowsUsrClass.dat.LOG L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceLocal SettingsHistoriqueHistory.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceLocal SettingsTempCookiesindex.dat L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceLocal SettingsTempFichiers Internet temporairesContent.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceLocal SettingsTempHistoryHistory.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsLocalServiceNTUSER.DAT L'objet est verrouillé ignoré
C:Documents and SettingsLocalService
tuser.dat.LOG L'objet est verrouillé ignoré
C:Documents and SettingsNetworkServiceCookiesindex.dat L'objet est verrouillé ignoré
C:Documents and SettingsNetworkServiceLocal SettingsApplication DataMicrosoftWindowsUsrClass.dat L'objet est verrouillé ignoré
C:Documents and SettingsNetworkServiceLocal SettingsApplication DataMicrosoftWindowsUsrClass.dat.LOG L'objet est verrouillé ignoré
C:Documents and SettingsNetworkServiceLocal SettingsHistoriqueHistory.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5index.dat L'objet est verrouillé ignoré
C:Documents and SettingsNetworkServiceNTUSER.DAT L'objet est verrouillé ignoré
C:Documents and SettingsNetworkService
tuser.dat.LOG L'objet est verrouillé ignoré
C:Program FilesAlwil SoftwareAvast4DATAaswResp.dat L'objet est verrouillé ignoré
C:Program FilesAlwil SoftwareAvast4DATAAvast4.db L'objet est verrouillé ignoré
C:Program FilesAlwil SoftwareAvast4DATAlogselfdef.log L'objet est verrouillé ignoré
C:Program FilesAlwil SoftwareAvast4DATA eportProtection résidente.txt L'objet est verrouillé ignoré
C:System Volume InformationMountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:System Volume Information\_restore{EDAF309F-981B-4B20-8DAF-29F8221A7A43}RP138A0358418.exe Infecté : Trojan-Downloader.Win32.Bagle.abq ignoré
C:System Volume Information\_restore{EDAF309F-981B-4B20-8DAF-29F8221A7A43}RP138change.log L'objet est verrouillé ignoré
C:WINDOWSDebugPASSWD.LOG L'objet est verrouillé ignoré
C:WINDOWSInternet Logsfwdbglog.txt L'objet est verrouillé ignoré
C:WINDOWSInternet Logsfwpktlog.txt L'objet est verrouillé ignoré
C:WINDOWSInternet LogsIAMDB.RDB L'objet est verrouillé ignoré
C:WINDOWSInternet LogsOSIRIS.ldb L'objet est verrouillé ignoré
C:WINDOWSInternet Logs vDebug.log L'objet est verrouillé ignoré
C:WINDOWSSchedLgU.Txt L'objet est verrouillé ignoré
C:WINDOWSSti_Trace.log L'objet est verrouillé ignoré
C:WINDOWSsystem32CatRoot2edb.log L'objet est verrouillé ignoré
C:WINDOWSsystem32CatRoot2 mp.edb L'objet est verrouillé ignoré
C:WINDOWSsystem32configAntivirus.Evt L'objet est verrouillé ignoré
C:WINDOWSsystem32configAppEvent.Evt L'objet est verrouillé ignoré
C:WINDOWSsystem32configdefault L'objet est verrouillé ignoré
C:WINDOWSsystem32configdefault.LOG L'objet est verrouillé ignoré
C:WINDOWSsystem32configInternet.evt L'objet est verrouillé ignoré
C:WINDOWSsystem32configSAM L'objet est verrouillé ignoré
C:WINDOWSsystem32configSAM.LOG L'objet est verrouillé ignoré
C:WINDOWSsystem32configSecEvent.Evt L'objet est verrouillé ignoré
C:WINDOWSsystem32configSECURITY L'objet est verrouillé ignoré
C:WINDOWSsystem32configSECURITY.LOG L'objet est verrouillé ignoré
C:WINDOWSsystem32configsoftware L'objet est verrouillé ignoré
C:WINDOWSsystem32configsoftware.LOG L'objet est verrouillé ignoré
C:WINDOWSsystem32configSysEvent.Evt L'objet est verrouillé ignoré
C:WINDOWSsystem32configsystem L'objet est verrouillé ignoré
C:WINDOWSsystem32configsystem.LOG L'objet est verrouillé ignoré
C:WINDOWSsystem32driversfidbox.dat L'objet est verrouillé ignoré
C:WINDOWSsystem32driversfidbox.idx L'objet est verrouillé ignoré
C:WINDOWSsystem32driverssptd.sys L'objet est verrouillé ignoré
C:WINDOWSsystem32h323log.txt L'objet est verrouillé ignoré
C:WINDOWSsystem32wbemRepositoryFSINDEX.BTR L'objet est verrouillé ignoré
C:WINDOWSsystem32wbemRepositoryFSINDEX.MAP L'objet est verrouillé ignoré
C:WINDOWSsystem32wbemRepositoryFSMAPPING.VER L'objet est verrouillé ignoré
C:WINDOWSsystem32wbemRepositoryFSMAPPING1.MAP L'objet est verrouillé ignoré
C:WINDOWSsystem32wbemRepositoryFSMAPPING2.MAP L'objet est verrouillé ignoré
C:WINDOWSsystem32wbemRepositoryFSOBJECTS.DATA L'objet est verrouillé ignoré
C:WINDOWSsystem32wbemRepositoryFSOBJECTS.MAP L'objet est verrouillé ignoré
C:WINDOWSTemphlktmp L'objet est verrouillé ignoré
C:WINDOWSTempPerflib_Perfdata_750.dat L'objet est verrouillé ignoré
C:WINDOWSTempPerflib_Perfdata_780.dat L'objet est verrouillé ignoré
C:WINDOWSTempLT02ab3.TMP L'objet est verrouillé ignoré
C:WINDOWSTempLT02ab6.TMP L'objet est verrouillé ignoré
C:WINDOWSwiadebug.log L'objet est verrouillé ignoré
C:WINDOWSwiaservc.log L'objet est verrouillé ignoré

Analyse terminée.
-------------------------------------------------------------------------------


voilà
De ce que je peux comprendre j'ai bien confirmation que c'est par emule que j'ai chopé cette saleté...

Je te remercie de ton aide, peux tu m'indiquer la marche a suivre maintenant

[Ask to Old Man]

voilà
De ce que je peux comprendre j'ai bien confirmation que c'est par emule que j'ai chopé cette saleté...

Et tout particulièrement grace aux sites de "cracks"...
Comme te l'a signalé r@in | b0w, vouloir "pirater" par crack
un/des logiciels est très souvent assorti de cette punition.

Sans compter que ta machine peut être utilisée comme "botnet zombie",
envahie par un/des keyloggers qui pistent tout tes mots de passes & codes perso.

[settoken]

oui je suis au courant de tout ça et en principe je fais plutot attention, mais comme toujours il suffit d'une erreur pour que des semaines d'installations et d'optimisations sur XP risquent de s'envoler...ça donne à réflechir c'est vrai
Mais bon là c'est pas un keylogger, c'est un bagle c'est du corriace

Bon apres utilisation de sophos anti rootkit, suppression du dossier temp d'emule et redémarrage, je retrouve spybot opérationnel...

Comment est ce que je peux verifier qu'il ne m'en reste pas planqués un peu partout prets a sevir de nouveau là ?

[r@in | b0w]

Je ne vais pas en remettre une couche mais j'espère qu'en plus du dossier temporaire, tu as supprimé tous les cracks.

Tu utilises EliBagla, voir le lien que j'ai donné précédemment, que tu renommes comme expliqué avant aussi.

Tu postes le rapport et on te dira quoi faire ensuite.

Au passage, tes points de restauration sont touchés.

Tu vas les nettoyer.

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.

On attend le rapport d'EliBagla.

[settoken]

ok alors j'ai fait un scan avec ELIBAGLA voici le log:


----------------------------------------------
Fri Sep 19 03:31:19 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):
C:WINDOWSSYSTEM32DRIVERSHLDRRR.EXE --> Eliminado Bagle.dldr
Restaurada Clave: "SafeBootMinimal y Network"

Fri Sep 19 03:31:49 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:
C:Program FilesSuperCopier2SUPERCOPIER2.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 13757
Nº Total de Ficheros: 202229
Nº de Ficheros Analizados: 11600
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Fri Sep 19 03:45:30 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

Fri Sep 19 03:46:28 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

Fri Sep 19 03:46:31 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 13757
Nº Total de Ficheros: 202233
Nº de Ficheros Analizados: 11596
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Fri Sep 19 03:49:52 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 13753
Nº Total de Ficheros: 202233
Nº de Ficheros Analizados: 11596
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Fri Sep 19 23:57:23 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

Fri Sep 19 23:57:32 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 13767
Nº Total de Ficheros: 203128
Nº de Ficheros Analizados: 11621
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
----------------------------------------------


Ensuite comme indiqué sur le lien j'ai fait un scan avec comboFix:


ComboFix 08-09-19.04 - Khemet Wang 2008-09-20 0:07:04.1 - NTFSx86
Microsoft Windows XP Edition familiale 5.1.2600.3.1252.1.1036.18.2486 [GMT 2:00]
Lancé depuis: C:Documents and SettingsKhemet WangBureaulabla.exe
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RECUPERATION N'EST PAS INSTALLEE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:WINDOWSsystem32driversdownld
C:WINDOWSsystem32lsprst7.dll
C:WINDOWSsystem32msvcsv60.dll
C:WINDOWSsystem32ssprs.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-19 au 2008-09-19 ))))))))))))))))))))))))))))))))))))
.

2008-09-19 23:43 . 2008-09-19 23:43 0 --a------ C:WINDOWShlktmp
2008-09-19 17:35 . 2007-08-14 08:12 18,816 --------- C:WINDOWSsystem32SAVRKBootTasks.sys
2008-09-19 16:29 . 2008-09-19 16:29 <REP> d-------- C:Program FilesSophos
2008-09-19 14:04 . 2008-09-19 14:05 <REP> d-------- C:WINDOWSBDOSCAN8
2008-09-19 03:57 . 2008-09-19 03:57 <REP> d-------- C:WINDOWSsystem32Kaspersky Lab
2008-09-19 03:47 . 2008-09-19 03:47 7,680 --ahs---- C:WINDOWSsystem32Thumbs.db
2008-09-19 03:47 . 2008-09-19 03:47 7,168 --ahs---- C:WINDOWSThumbs.db
2008-09-19 03:04 . 2008-09-19 03:04 <REP> d-------- C:Documents and SettingsKhemet WangApplication DataAdvanced Font Viewer
2008-09-18 21:06 . 2000-05-24 15:02 298,496 --a------ C:WINDOWSunin040c.exe
2008-09-17 21:07 . 2003-06-25 16:05 266,360 --a------ C:WINDOWSsystem32TweakUI.exe
2008-09-17 21:07 . 2002-06-21 15:09 160,217 --a------ C:WINDOWSsystem32PowerToysLicense.rtf
2008-09-14 11:33 . 2008-05-02 02:38 301,656 --a------ C:WINDOWSsystem32BtCoreIf.dll
2008-09-14 11:32 . 2008-09-14 11:33 <REP> d-------- C:Program FilesFichiers communsLogishrd
2008-09-13 20:53 . 2008-09-13 20:53 38 --a------ C:WINDOWSavisplitter.INI
2008-09-07 18:49 . 2008-09-07 18:50 <REP> d-------- C:WINDOWS$regcmp$
2008-09-05 20:14 . 2008-09-05 20:19 <REP> d-------- C:WINDOWSsystem32NtmsData
2008-09-04 02:34 . 2006-11-22 10:01 693,760 --a------ C:WINDOWSsystem32drivershardlock.sys
2008-09-04 02:34 . 2001-06-21 21:39 73,728 --a------ C:WINDOWSsystem32driversSENTINEL.SYS
2008-09-04 02:34 . 2001-06-21 21:39 49,664 --a------ C:WINDOWSsystem32SNTI386.DLL
2008-09-04 02:34 . 2008-09-04 02:34 47,616 --a------ C:WINDOWSsystem32driversHaspnt.sys
2008-09-04 02:34 . 2001-06-21 21:39 20,032 -ra------ C:WINDOWSsystem32driversSNTNLUSB.SYS
2008-09-04 02:34 . 2001-06-21 21:39 18,432 --a------ C:WINDOWSsystem32RNBOVDD.DLL
2008-09-04 02:34 . 2008-09-04 02:34 6,656 --a------ C:WINDOWSsystem32haspvdd.dll
2008-09-04 02:34 . 2008-07-27 07:26 3,121 --a------ C:WINDOWSsystem32config.hsp
2008-09-04 02:34 . 2008-09-04 02:34 383 --a------ C:WINDOWSsystem32haspdos.sys
2008-09-04 02:33 . 2008-09-04 02:33 <REP> d-------- C:WINDOWSsystem32RNBOSENT
2008-09-04 02:33 . 2008-09-04 02:33 <REP> d-------- C:Program FilesGLOBEtrotter Software Inc
2008-09-04 02:33 . 2001-06-21 21:39 9,949 --------- C:WINDOWSsystem32SENTINEL.HLP
2008-09-04 02:33 . 1998-07-10 04:31 7,328 --a------ C:WINDOWSsystem32driversds1410d.sys
2008-09-04 02:25 . 2008-09-04 02:26 <REP> d-------- C:Program FilesFichiers communsAlias Shared
2008-09-04 02:24 . 2008-09-04 03:24 <REP> d-------- C:FlexLM
2008-09-04 01:22 . 2008-09-04 02:25 <REP> d-------- C:Program FilesFichiers communsAutodesk Shared
2008-09-04 01:22 . 2008-09-04 02:59 <REP> d-------- C:Program FilesAutodesk
2008-09-04 01:19 . 2008-09-04 01:19 <REP> d-------- C:Program FilesMSBuild
2008-09-04 01:12 . 2008-09-04 01:12 <REP> d-------- C:WINDOWSsystem32XPSViewer
2008-09-04 01:12 . 2008-09-04 01:12 <REP> d-------- C:Program FilesReference Assemblies
2008-09-04 01:11 . 2006-06-29 13:07 14,048 --------- C:WINDOWSsystem32spmsg2.dll
2008-08-31 23:52 . 2008-08-31 23:52 <REP> d-------- C:Program FilesReal
2008-08-31 23:52 . 2008-09-17 23:13 <REP> d-------- C:Program FilesFichiers communsReal
2008-08-29 20:36 . 2008-08-29 20:36 1,409 --a------ C:WINDOWSsystem32 mpC6CB7.FOT
2008-08-29 00:33 . 2008-08-29 00:38 <REP> d-------- C:Program Filesfraps
2008-08-26 20:39 . 2007-08-21 04:01 7,034,368 --a------ C:WINDOWSsystem32BCC5 Render Engine 8BPC.dll
2008-08-26 13:54 . 2008-08-26 13:54 1,131 --a------ C:WINDOWSBorisFX6.ini
2008-08-26 13:31 . 1998-10-29 17:45 306,688 --a------ C:WINDOWSIsUninst.exe
2008-08-26 13:31 . 2008-08-26 13:31 272 --a------ C:WINDOWS\_delis32.ini
2008-08-26 12:20 . 2008-08-26 12:20 <REP> d-------- C:Program FilesAIST
2008-08-26 11:54 . 2008-08-26 12:02 <REP> d-------- C:Program FilesMagicISO
2008-08-25 19:38 . 2008-08-25 19:38 <REP> d-------- C:Documents and SettingsAll UsersApplication DataAzureus
2008-08-25 19:32 . 2008-08-25 19:39 <REP> d-------- C:Program FilesAzureus
2008-08-25 19:32 . 2008-09-13 12:10 <REP> d-------- C:Documents and SettingsKhemet WangApplication DataAzureus
2008-08-25 19:09 . 2008-08-25 19:09 <REP> d-------- C:WINDOWSSun
2008-08-25 19:09 . 2008-06-10 02:32 73,728 --a------ C:WINDOWSsystem32javacpl.cpl
2008-08-25 19:08 . 2008-08-25 19:09 <REP> d-------- C:Program FilesJava
2008-08-23 21:12 . 2008-08-23 21:12 <REP> d-------- C:Program FilesApple Software Update
2008-08-23 21:12 . 2008-08-23 21:12 <REP> d-------- C:Documents and SettingsAll UsersApplication DataApple
2008-08-23 11:00 . 2008-08-23 11:00 0 --ah----- C:WINDOWSsystem32driversMsft_Kernel_LHidFilt_01005.Wdf
2008-08-20 16:22 . 2008-08-20 16:22 <REP> d-------- C:Documents and SettingsKhemet WangApplication DataGridIron
2008-08-20 16:16 . 2008-08-20 16:17 <REP> d-------- C:Documents and SettingsAll UsersApplication DataGridIron Software
2008-08-20 13:58 . 2008-08-24 23:47 <REP> d-------- C:Documents and SettingsKhemet WangApplication DataAutodesk
2008-08-20 05:21 . 2008-08-20 05:21 <REP> d-------- C:Documents and SettingsKhemet WangApplication DataArcSoft
2008-08-20 05:20 . 2008-08-20 05:20 0 --ah----- C:WINDOWSsystem32driversMsft_Kernel_phaudlwr_01005.Wdf
2008-08-20 05:15 . 2008-08-20 05:15 <REP> d-------- C:Program FilesFichiers communsArcSoft
2008-08-20 05:15 . 2005-04-27 16:36 245,408 --a------ C:WINDOWSsystem32unicows.dll
2008-08-20 05:15 . 1995-08-01 04:44 212,480 --a------ C:WINDOWSPCDLIB32.DLL
2008-08-20 05:14 . 2008-08-20 05:15 <REP> d-------- C:Program FilesPhilips_VLounge
2008-08-20 05:14 . 2008-08-20 05:14 <REP> d-------- C:Program FilesDIFX
2008-08-20 05:14 . 2007-07-12 15:00 3,033,856 --a------ C:WINDOWSsystem32driversspc1000.sys
2008-08-20 05:14 . 2007-07-12 14:59 675,840 --a------ C:WINDOWSvspc1000.exe
2008-08-20 05:14 . 2007-07-12 15:00 479,232 --a------ C:WINDOWSsystem32vspc1000.dll
2008-08-20 05:14 . 2007-07-12 14:58 88,320 --a------ C:WINDOWSsystem32driversphaudlwr.sys
2008-08-20 05:14 . 2007-04-22 16:24 77,824 --a------ C:WINDOWSVPro1000.exe
2008-08-20 05:14 . 2007-07-12 14:59 53,248 --a------ C:WINDOWSsystem32cspc1000.dll
2008-08-20 05:14 . 2007-07-12 15:00 28,672 --a------ C:WINDOWSsystem32driversspc1000c.sys
2008-08-20 05:14 . 2007-07-12 14:59 15,497 --a------ C:WINDOWSspc1000.ini
2008-08-20 05:14 . 2007-07-12 14:59 13,022 --a------ C:WINDOWSspc1000.src
2008-08-20 05:13 . 2008-08-20 05:13 <REP> d-------- C:WINDOWSPhilips
2008-08-20 05:13 . 2008-08-20 05:13 <REP> d-------- C:Program FilesPhilips
2008-08-20 05:13 . 2008-08-20 05:14 <REP> d-------- C:Program FilesFichiers communsSPC1000NC
2008-08-19 10:22 . 2008-08-19 10:22 231 --a------ C:WINDOWSsystem323dsmax.ini
2008-08-19 10:22 . 2008-08-19 10:22 43 --a------ C:WINDOWSsystem32InstallSettings.ini
2008-08-19 10:21 . 2008-09-04 01:22 <REP> d-------- C:Documents and SettingsAll UsersApplication DataAutodesk
2008-08-19 10:20 . 2007-05-16 16:45 3,497,832 --a------ C:WINDOWSsystem32d3dx9_34.dll
2008-08-19 10:20 . 2006-11-29 13:06 3,426,072 --a------ C:WINDOWSsystem32d3dx9_32.dll
2008-08-19 10:20 . 2006-09-28 16:05 2,414,360 --a------ C:WINDOWSsystem32d3dx9_31.dll
2008-08-19 10:20 . 2007-05-16 16:45 1,124,720 --a------ C:WINDOWSsystem32D3DCompiler_34.dll
2008-08-19 10:20 . 2007-05-16 16:45 443,752 --a------ C:WINDOWSsystem32d3dx10_34.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 22:09 71,131,168 --sha-w C:WINDOWSsystem32driversfidbox.dat
2008-09-19 15:49 22,528 ----a-w C:WINDOWSInternet LogsxDB40.tmp
2008-09-19 15:49 2,313,216 ----a-w C:WINDOWSInternet LogsxDB41.tmp
2008-09-19 15:45 841,160 --sha-w C:WINDOWSsystem32driversfidbox.idx
2008-09-19 15:45 2,929,152 ----a-w C:WINDOWSInternet LogsxDB3F.tmp
2008-09-19 15:25 --------- d-----w C:Documents and SettingsAll UsersApplication DataSpybot - Search & Destroy
2008-09-16 20:13 98,304 ----a-w C:WINDOWSInternet LogsxDB3D.tmp
2008-09-16 20:13 2,253,312 ----a-w C:WINDOWSInternet LogsxDB3E.tmp
2008-09-16 12:32 2,689,536 ----a-w C:WINDOWSInternet LogsxDB3C.tmp
2008-09-14 09:33 --------- d-----w C:Program FilesFichiers communsLogitech
2008-09-14 09:32 --------- d--h--w C:Program FilesInstallShield Installation Information
2008-09-12 14:34 3,024,896 ----a-w C:WINDOWSInternet LogsxDB3B.tmp
2008-09-10 10:13 --------- d-----w C:Program FilesMessenger Plus! Live
2008-09-08 02:17 2,235,392 ----a-w C:WINDOWSInternet LogsxDB3A.tmp
2008-09-04 00:55 97,792 ----a-w C:WINDOWSInternet LogsxDB38.tmp
2008-09-04 00:55 2,223,104 ----a-w C:WINDOWSInternet LogsxDB39.tmp
2008-09-04 00:49 3,073,536 ----a-w C:WINDOWSInternet LogsxDB36.tmp
2008-09-04 00:49 2,230,784 ----a-w C:WINDOWSInternet LogsxDB37.tmp
2008-09-03 22:39 --------- d-----w C:Program FilesFlashGet
2008-09-01 18:21 --------- d-----w C:Program Filesa-squared Free
2008-09-01 16:11 2,750,976 ----a-w C:WINDOWSInternet LogsxDB35.tmp
2008-09-01 14:12 2,959,360 ----a-w C:WINDOWSInternet LogsxDB33.tmp
2008-09-01 14:12 2,174,976 ----a-w C:WINDOWSInternet LogsxDB34.tmp
2008-08-31 02:56 109,568 ----a-w C:WINDOWSInternet LogsxDB32.tmp
2008-08-30 21:53 2,164,224 ----a-w C:WINDOWSInternet LogsxDB31.tmp
2008-08-30 17:05 53,760 ----a-w C:WINDOWSInternet LogsxDB2F.tmp
2008-08-30 17:05 2,163,712 ----a-w C:WINDOWSInternet LogsxDB30.tmp
2008-08-30 15:50 --------- d---a-w C:Documents and SettingsAll UsersApplication DataTEMP
2008-08-30 13:52 2,151,898 ----a-w C:WINDOWSInternet Logs vDebug.zip
2008-08-30 02:32 2,770,944 ----a-w C:WINDOWSInternet LogsxDB2E.tmp
2008-08-29 19:26 2,162,688 ----a-w C:WINDOWSInternet LogsxDB2D.tmp
2008-08-29 14:23 2,153,984 ----a-w C:WINDOWSInternet LogsxDB2C.tmp
2008-08-29 12:07 2,153,472 ----a-w C:WINDOWSInternet LogsxDB2B.tmp
2008-08-28 22:21 --------- d-----w C:Program FilesCelestia
2008-08-28 12:14 2,149,376 ----a-w C:WINDOWSInternet LogsxDB2A.tmp
2008-08-28 11:21 244,224 ----a-w C:WINDOWSInternet LogsxDB29.tmp
2008-08-27 14:02 66,560 ----a-w C:WINDOWSInternet LogsxDB28.tmp
2008-08-27 00:24 3,014,656 ----a-w C:WINDOWSInternet LogsxDB27.tmp
2008-08-26 21:15 2,145,280 ----a-w C:WINDOWSInternet LogsxDB26.tmp
2008-08-26 18:39 --------- d-----w C:Program FilesBoris FX, Inc
2008-08-25 20:26 3,012,096 ----a-w C:WINDOWSInternet LogsxDB25.tmp
2008-08-25 18:40 745,472 ----a-w C:WINDOWSInternet LogsxDB23.tmp
2008-08-25 18:40 2,113,024 ----a-w C:WINDOWSInternet LogsxDB24.tmp
2008-08-25 18:30 3,048,448 ----a-w C:WINDOWSInternet LogsxDB22.tmp
2008-08-25 16:25 2,095,104 ----a-w C:WINDOWSInternet LogsxDB21.tmp
2008-08-25 16:25 1,024,512 ----a-w C:WINDOWSInternet LogsxDB20.tmp
2008-08-25 10:12 2,086,400 ----a-w C:WINDOWSInternet LogsxDB1F.tmp
2008-08-24 17:16 3,030,528 ----a-w C:WINDOWSInternet LogsxDB1E.tmp
2008-08-23 19:13 --------- d-----w C:Program FilesQuickTime Alternative
2008-08-23 19:13 --------- d-----w C:Documents and SettingsAll UsersApplication DataApple Computer
2008-08-21 13:57 2,065,920 ----a-w C:WINDOWSInternet LogsxDB1D.tmp
2008-08-21 09:46 2,065,408 ----a-w C:WINDOWSInternet LogsxDB1C.tmp
2008-08-21 09:46 1,696,256 ----a-w C:WINDOWSInternet LogsxDB1B.tmp
2008-08-20 09:17 2,015,232 ----a-w C:WINDOWSInternet LogsxDB1A.tmp
2008-08-20 09:17 1,843,200 ----a-w C:WINDOWSInternet LogsxDB19.tmp
2008-08-20 03:17 2,009,600 ----a-w C:WINDOWSInternet LogsxDB18.tmp
2008-08-20 03:17 1,805,824 ----a-w C:WINDOWSInternet LogsxDB17.tmp
2008-08-20 03:14 --------- d-----w C:Program FilesFichiers communsInstallShield
2008-08-19 01:51 --------- d-----w C:Program FilesFichiers communsAdobe
2008-08-18 08:52 --------- d-----w C:Program FilesNVIDIA Corporation
2008-08-18 05:42 157,696 ----a-w C:WINDOWSInternet LogsxDB15.tmp
2008-08-18 05:42 1,965,568 ----a-w C:WINDOWSInternet LogsxDB16.tmp
2008-08-17 18:57 1,959,424 ----a-w C:WINDOWSInternet LogsxDB14.tmp
2008-08-16 19:14 1,658,880 ----a-w C:WINDOWSInternet LogsxDB13.tmp
2008-08-16 01:08 361,600 ----a-w C:WINDOWSsystem32driversTCPIP.SYS.ORIGINAL
2008-08-16 01:08 361,600 ----a-w C:WINDOWSsystem32driversTCPIP.SYS
2008-08-15 00:35 --------- d-----w C:Documents and SettingsKhemet WangApplication Datavlc
2008-08-15 00:31 --------- d-----w C:Program FilesVideoLAN
2008-08-14 15:55 --------- d-----w C:Program FileseMule
2008-08-14 15:54 --------- d-----w C:Documents and SettingsKhemet WangApplication DataeMule
2008-08-14 00:45 --------- d-----w C:Program FilesStellarium
2008-08-13 20:26 --------- d-----w C:Documents and SettingsKhemet WangApplication DataLogitech
2008-08-13 20:25 --------- d-----w C:Program FilesFichiers communsLogiShared
2008-08-13 20:25 --------- d-----w C:Documents and SettingsKhemet WangApplication DataLeadertech
2008-08-13 20:23 0 ---ha-w C:WINDOWSsystem32driversMsft_Kernel_LMouFilt_01005.Wdf
2008-08-13 20:22 --------- d-----w C:Program FilesLogitech
2008-08-13 20:22 --------- d-----w C:Documents and SettingsAll UsersApplication DataLogitech
2008-08-13 20:22 --------- d-----w C:Documents and SettingsAll UsersApplication DataLogiShrd
2008-08-12 16:12 --------- d-----w C:Program FilesQuickMediaConverter
2008-08-10 23:48 72,704 ----a-w C:WINDOWSInternet LogsxDB11.tmp
2008-08-10 23:48 1,863,168 ----a-w C:WINDOWSInternet LogsxDB12.tmp
2008-08-09 15:45 --------- d-----w C:Program FilesWaves
2008-08-09 15:44 --------- d-----w C:Program FilesAntares
2008-08-09 15:37 --------- d-----w C:Program FilesEast West
2008-08-09 13:28 --------- d-----w C:Documents and SettingsKhemet WangApplication DataWaves Audio
2008-08-09 12:58 --------- d-----w C:Program FilesNative Instruments
2008-08-09 12:48 --------- d-----w C:Program FilesFichiers communsNative Instruments
2008-08-09 12:31 --------- d-----w C:Program FilesCakewalk
2008-08-09 12:24 --------- d-----w C:Program FilesKORG
2008-08-09 12:24 --------- d-----w C:Program FilesFichiers communsKorg
2008-08-09 12:18 --------- d-----w C:Program FilesArturia
2008-08-09 12:17 --------- d-----w C:Program FilesDigidesign
2008-08-09 02:11 --------- d-----w C:Program FilesIK Multimedia
2008-08-08 23:48 --------- d-----w C:Program FilesBest Service
2008-08-08 22:56 --------- d-----w C:Program Filesero-G
2008-08-08 20:53 --------- d-----w C:Program FilesSpectrasonics
2008-08-08 20:15 186,368 ----a-w C:WINDOWSInternet LogsxDB10.tmp
2008-08-08 19:59 1,752,576 ----a-w C:WINDOWSInternet LogsxDBF.tmp
2008-08-08 14:02 --------- d-----w C:Program FilesDAEMON Tools Lite
2008-08-08 14:00 716,272 ----a-w C:WINDOWSsystem32driverssptd.sys
.

------- Sigcheck -------

2008-06-20 13:59 361600 ad978a1b783b5719720cff204b666c8e C:WINDOWS$hf_mig$KB951748SP3QFE cpip.sys
2006-03-02 14:00 359040 9f4b36614a0fc234525ba224957de55c C:WINDOWS$NtServicePackUninstall$ cpip.sys
2008-04-13 21:20 361344 93ea8d04ec73a85db02eb8805988f733 C:WINDOWS$NtUninstallKB951748$ cpip.sys
2008-04-13 21:20 361344 93ea8d04ec73a85db02eb8805988f733 C:WINDOWSServicePackFilesi386TCPIP.SYS
2008-08-16 03:08 361600 a29e1209f925a0e9b330e11da5fc7bab C:WINDOWSsystem32dllcacheTCPIP.SYS
2008-08-16 03:08 361600 a29e1209f925a0e9b330e11da5fc7bab C:WINDOWSsystem32driversTCPIP.SYS
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"SpybotSD TeaTimer"="C:Program FilesSpybot - Search & DestroyTeaTimer.exe" [2008-01-28 2097488]
"ctfmon.exe"="C:WINDOWSsystem32ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"avast!"="C:PROGRA~1ALWILS~1Avast4ashDisp.exe" [2008-07-19 78008]
"ZoneAlarm Client"="C:Program Filesone LabsoneAlarmzlclient.exe" [2008-07-09 919016]
"M-Audio Taskbar Icon"="C:WINDOWSSystem32M-AudioTaskBarIcon.exe" [2008-05-15 356864]
"NvCplDaemon"="C:WINDOWSsystem32NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="C:WINDOWSsystem32NvMcTray.dll" [2008-05-16 86016]
"H2O"="C:Program FilesSyncroSoftPosH2Ocledx.exe" [2005-11-01 307200]
"spc1000"="C:WINDOWSvspc1000.exe" [2007-07-12 675840]
"nwiz"="nwiz.exe" [2008-05-16 C:WINDOWSsystem32
wiz.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 C:WINDOWSKHALMNPR.Exe]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"NoFavoritesMenu"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
"NoStrCmpLogical"= 1 (0x1)
"NoFavoritesMenu"= 0 (0x0)
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoUserNameInStartMenu"= 1 (0x1)
"NoInstrumentation"= 0 (0x0)
"NoStartMenuPinnedList"= 0 (0x0)
"ForceStartMenuLogoff"= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon
otifyLBTWlgn]
2008-05-02 02:42 72208 c:Program FilesFichiers communsLogitechBluetoothLBTWLgn.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"VIDC.YV12"= yv12vfw.dll
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalaawservice]
@=""

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalsacsvr]
@="Service"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalsglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalsr.sys]
@=""

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalSRService]
@=""

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal ga.sys]
@="Driver"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalwd.sys]
@="Driver"

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"C:\Program Files\Windows Live\Messenger\livecall.exe"=
"C:\Program Files\Autodesk\Backburner\monitor.exe"=
"C:\Program Files\Autodesk\Backburner\manager.exe"=
"C:\Program Files\Autodesk\Backburner\server.exe"=

R1 aswSP;avast! Self Protection;C:WINDOWSsystem32driversaswSP.sys [2008-07-19 78416]
R1 SAVRKBootTasks;Boot Tasks Driver;C:WINDOWSsystem32SAVRKBootTasks.sys [2007-08-14 18816]
R2 aswFsBlk;aswFsBlk;C:WINDOWSsystem32DRIVERSaswFsBlk.sys [2008-07-19 20560]
R2 Dnscache;Client DNS;C:WINDOWSsystem32svchost.exe [2008-04-14 14336]
R3 CLEDX;Team H2O CLEDX service;C:WINDOWSsystem32DRIVERScledx.sys [2005-05-09 33792]
R3 MAUSBFTP;Service for M-Audio Fast Track Pro (WDM);C:WINDOWSsystem32DRIVERSmausb.sys [2008-03-11 143624]
R3 phaudlwr;Philips Audio Filter;C:WINDOWSsystem32DRIVERSphaudlwr.sys [2007-07-12 88320]
R3 SPC1000;USB2.0 PC Camera (SPC1000);C:WINDOWSsystem32DRIVERSspc1000.sys [2007-07-12 3033856]
S2 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit;C:Program FilesAutodesk3ds Max 2009mentalraysatellite aysat_3dsMax2009_32server.exe [2008-03-10 65536]
S3 MEMSWEEP2;MEMSWEEP2;C:WINDOWSsystem322.tmp [ ]

*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:Documents and SettingsKhemet WangApplication DataMozillaFirefoxProfiles1d8o4pw3.default
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://home.myspace.com/index.cfm?fusea ... 0951cef238
FF -: plugin - C:Program FilesAdobeAcrobat 8.0Acrobatrowser
ppdf32.dll
FF -: plugin - C:Program FilesK-Lite Codec PackRealrowserplugins
ppl3260.dll
FF -: plugin - C:Program FilesK-Lite Codec PackRealrowserplugins
prpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 00:08:52
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINEsystemControlSet001ServicesMEMSWEEP2]
"ImagePath"="??C:WINDOWSsystem322.tmp"
.
Heure de fin: 2008-09-20 0:09:46
ComboFix-quarantined-files.txt 2008-09-19 22:09:43

Avant-CF: 65y075y261y440 octets libres
Après-CF: 65,071,497,216 octets libres

319 --- E O F --- 2008-08-16 19:14:52




Voilà ce que ça donne.
Donc là qu'est ce que je fais des résultats obtenus avec le scan en ligne Kaspersky ? Je supprime tout ce qui est suspect ?
Et sinon combofix m'a pondu un dossier a la racine de C:

EDIT: il y a les précédents scan ELIBAGLA que j'ai fait dans la journée apparement, j'aimerai savoir si il est possible que le bagle soit allé se nicher dans mes autres DD

[settoken]

ça inspire personne ?

[r@in | b0w]

Bonjour.

:-? ça inspire personne ?

Je suis, comme tous les forumeurs ici présents, un bénévole donantn de mon temps pour aider les autres.
Merci de ne pas l'oublier

Par rapport au scan EliBagla, le ménage a été fait.
Par contre, il est possible que l'infection soit sur tes autres disques.

Tu relances EliBagla et, dans le cadre Unidad, tu sélectionnes toutes tes partitions.
Tu continues la procédure et tu postes les rapports.

Et pour le scan de Kaspersky, tu le laisses là où il est.

Pour ComboFix, tu aurais du attendre que je te le demande car tu n'as pas installé la Console de récupération, un utilitaire permettant de récupérer des paramètres utilisateurs en cas d'effacement pendant la désinfection.
Et ComboFix crée plusieurs dossiers à la racine de ta partition principale.

Fais un scan HiJackThis en suivant ce tutorial.

[settoken]

oui je sais bien que tu me rend service je demandais ça comme ça tkt,

donc en effet mes parametres utilisateurs ont foutu le camp apres le scan combo fix, c'est pas grave, juste j'aimerai savoir si ça affecte les services windows que j'avais désactivé, les composants windows que j'avais viré et les clefs de registre que j'avais modifiées ou ajouté .

dc voilà le log ELIBAGLA de mes DD:



Sun Sep 21 19:25:03 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 12774
Nº Total de Ficheros: 179774
Nº de Ficheros Analizados: 11492
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sun Sep 21 19:31:12 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad D:

Nº Total de Directorios: 4534
Nº Total de Ficheros: 73593
Nº de Ficheros Analizados: 170
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sun Sep 21 19:59:37 2008
EliBagle v11.74 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad H:

Nº Total de Directorios: 3335
Nº Total de Ficheros: 87451
Nº de Ficheros Analizados: 396
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0





et le log HIJACKTHIS (renommé en analysethis):


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:18, on 21/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32 undll32.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32oneLabsvsmon.exe
C:WINDOWSExplorer.EXE
C:Program FilesLavasoftAd-Awareaawservice.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program Filesone LabsoneAlarmzlclient.exe
C:WINDOWSSystem32M-AudioTaskBarIcon.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesSyncroSoftPosH2Ocledx.exe
C:WINDOWSvspc1000.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:WINDOWSVPro1000.exe
C:Program Filesa-squared Freea2service.exe
C:Program FilesFichiers communsAutodesk SharedServiceAdskScSrv.exe
C:Program FilesDiskeeper CorporationDiskeeperDkService.exe
C:Program FilesFichiers communsLogishrdKHAL2KHALMNPR.EXE
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesWindows LiveMessengerusnsvc.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesWindows Media Playerwmplayer.exe
C:WINDOWSExplorer.EXE
C:Documents and SettingsKhemet WangBureauAnalyseThis.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [ZoneAlarm Client] "C:Program Filesone LabsoneAlarmzlclient.exe"
O4 - HKLM..Run: [M-Audio Taskbar Icon] C:WINDOWSSystem32M-AudioTaskBarIcon.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [H2O] C:Program FilesSyncroSoftPosH2Ocledx.exe
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [spc1000] C:WINDOWSvspc1000.exe
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointSetPoint.exe
O4 - Global Startup: VPro1000.lnk = ?
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Télécharger avec USDownloader - C:Documents and SettingsKhemet WangBureauUSDownloader135Extdownloadie.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINDOWSdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://bitdefender.bwm-mediasoft.com/scan8/oscan8.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL ... 586-jc.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:Program Filesa-squared Freea2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:Program FilesLavasoftAd-Awareaawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:Program FilesFichiers communsAutodesk SharedServiceAdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:Program FilesDiskeeper CorporationDiskeeperDkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:Program FilesFichiers communsLogitechBluetoothLBTServ.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:Program FilesAutodesk3ds Max 2008mentalraysatellite aysat_3dsMax2008_32server.exe (file missing)
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:Program FilesAutodesk3ds Max 2009mentalraysatellite aysat_3dsMax2009_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: Remote Access Device DLL for modems, PADs and switches (rasmxs32) - Unknown owner - rundll32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:WINDOWSsystem32oneLabsvsmon.exe

--
End of file - 7597 bytes

[r@in | b0w]

Tu peux supprimer cette ligne O23 - Service: Remote Access Device DLL for modems, PADs and switches (rasmxs32) - Unknown owner - rundll32.exe (file missing), sinon ras dans ton log HiJackThis.

Pour terminer la désinfection et optimiser Windows:


_ Désinstallation des utilitaires utilisés:

Les programmes utilisés pour la désinfection ne sont pas à utiliser quotidiennement.

Pour les désinstaller, il faut aller dans le Panneau de configuration puis, via Ajouter/Supprimer des programmes, sélectionner les utilitaires et cliquer sur Désinstaller.

Pour une suppression effective, penses à supprimer leurs dossiers respectifs, la plupart à la racine de ta partition principale.


_ Utilisation d'un navigateur internet alternatif:

Internet Explorer n'étant pas sûr, il est préférable d'installer un navigateur internet alternatif pour sécuriser ton surf.

Tu as le choix entre Mozilla Firefox, Apple Safari ou encore Opéra.

Il faudra ensuite définir ce navigateur internet alternatif comme navigateur par défaut.


_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm & Sunbelt compatibles avec Vista sinon Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.


_ Nettoyage des points de restauration:

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.


_ Nettoyage des fichiers temporaires & de la base de registre:

Pour cela, Ccleaner reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.


_ Un petit coup d'oeil à notre dossier Nettoyage peut être utile en supplément.

Et finalement, pour optimiser Windows XP, ce sujet sera intéressant.

[settoken]

haha ben une fois plus je te remercie

t'as pas idée comme jpeux pas me permettre de formater là
Donc merci pour ton aide

tu peux me dire stp si ce que j'ai marqué dans mon précédent post ça fait partie des parametres utilisateurs ayant été supprimés ?