infection Win32:Bubak[Rtk]

nankech7 · le 18 Aoû 2010 04:00

Bonjour à tous et à toutes,

J'ai eu ce soir une infection, avast avait planté, et mon firewall était désactivé. J'ai immédiatement débranché mon câble réseau relié à la box.
L'infection a commencé par un faux logiciel de protection (Security Suite) m'annonçant que mon Pc était infecté et que je devais télécharger leur suite complète et payante sur un site nommé "stongantivir.com"... Ce que je n'ai pas fait bien entendu. Moyennant quoi, impossible d'accéder au net, ni au gestionnaire de tâches, ni de lancer avira ou autre. Heureusement, j'ai tout de même pu réinstaller avast et le démarrer.
Mais là, pendant le scan, il me conseille de mettre en quarantaine le fichier "ubguuut.dll" qui est infecté. Impossible, que me dit avast parce que c'est utilisé par une autre ressource. Même en essayant de le supprimer manuellement en navigant dans le PC, c'est impossible. En plus, Security Suite et ses copains me pourrissent mon champ visuel de pop-up pour télécharger l'antivirus, scanner le pc en ligne et messages d'erreur du type "impossible d'ouvrir "taskmgr.exe", le fichier est corrompu" quand je lance le gestionnaire de tâches ou une autre application me permettant de savoir ce qui se passe.

J'ai donc redémarré mon PC en mode sans échec. J'ai lancé avast qui a tenté sans succès de mettre en quarantaine un fichier infecté par "Win32:Bubak[Rtk]". (Vu l'heure tardive, j'ai abrégé le scan et je vais me coucher)
Heuresement, mon frangin m'a passé son portable pour chercher des solutions, c'est pour ça que je suis ici.

Que puis-je faire ?

Merci de votre aide.

bernard53 · le 18 Aoû 2010 09:41

Bonjour

fait ceci.

Attention si tu peux faire une sauvegarde de des données ne pas hésiter surtout.

Ensuite ceci.

Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

nankech7 · le 18 Aoû 2010 11:40

Bonjour,

Merci pour cette réponse rapide, j'ai téléchargé Combofix.
Dois-je effectuer ces opérations (installation et lancement) en mode sans-échec ou "normal" ?

bernard53 · le 18 Aoû 2010 11:53

En mode normal s.t.p pour combofix

nankech7 · le 18 Aoû 2010 12:07

L'infection m'empêche de l'installer, il met me une fenêtre "Security Warning, Application cannot be executed. The file "Combofix.exe" is infected. Do you want to activate your antivirus software now?"

J'ai essayé en changeant le nom de Combofix, l'installation commence un peu, puis s'arrête et le même message apparaît.

bernard53 · le 18 Aoû 2010 12:25

Peux tu faire ceci.

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
vstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Sinon renomme Combofix.exe en nankech7.com puis lance le.

nankech7 · le 18 Aoû 2010 12:38

Ça me fait exactement la même chose qu'avec Combofix. Message de sécurité comme quoi ce fichier est infecté et fermeture de l'application.

Le truc, c'est que le virus empêche le lancement de quoi que ce soit de type "antivirus". J'ai fait le test, en ouvrant le fichier 10 fois, ils se ferment un par un :(

bernard53 · le 18 Aoû 2010 12:43

teste ceci.

Démarrer >> Exécuter >> tapes msconfig puis rends toi a l'onglet démarrage et décoches tout .

Redémarre le pc.

si tu ne peux accéder a "msconfig" de cette manière alors fait ceci.

Rends-toi dans le registre comme ceci.
Démarres en mode sans échec puis choisi l'invité de commande.
Dans le choix des sessions présentes, choisi ta session et pas celle Administrateurs.

A la fenêtre DOS tapes: Regedit
Le registre va donc s'ouvrir. Rends-toi à cette clé.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dans la fenêtre de droite supprimes avec un clique droit dessus ce que tu trouves douteux et qui soit susceptibles de bloquer ton démarrage.

nankech7 · le 18 Aoû 2010 12:58

J'ai des doutes sur :
(par défaut)
ALCMTR
dccryjpb
LVCOMSX
nwiz
RTHDCPL

Les autres me paraissent normaux, du moins ils sont reliés à des logiciels qui ont été installés il y a quelques temps.

Voilà la liste complète, y en a t-il de suspects ?

Meilleure vue de l'image
http://img411.imageshack.us/img411/6277/regeditk.jpg

Ferais-je une erreur en les supprimant ?

nankech7 · le 18 Aoû 2010 14:34

Le registre "dccryjpb" est lié au fichier ipbvkjmshdw.exe dans le dossier
C:\Documents adn Settings\USER\Local Settings\Application Data\iswgmfjea\ipbvkjmshdw.exe

C'est ce genre de trucs que je dois supprimer ? Il ne me donne aucune occurrence sur google et ça ressemble assez à un nom créé aléatoirement par un logiciel malveillant.

bernard53 · le 18 Aoû 2010 15:20

tu as deux intrus.

ceci dccryjpb et cela EoEngine que tu peux virer sans soucis.

Tu as xp ou autres!

Essai OTL en mode sans echec

Désactives bien Avast le temps que tu as Antivir car il ne faut pas installer 2 antivirus.

nankech7 · le 18 Aoû 2010 15:38

Voilà le rapport d'OTL :

Code: Tout sélectionner: OTL logfile created on: 18/08/2010 16:25:30 - Run 1 OTL by OldTimer - Version 3.2.10.0 Folder = C:\Documents and Settings\Dubot\Bureau Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy 2.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 85.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free Paging file location(s): C:\pagefile.sys 320 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 37.11 Gb Total Space | 16.04 Gb Free Space | 43.22% Space Free | Partition Type: NTFS Drive D: | 195.78 Gb Total Space | 52.79 Gb Free Space | 26.96% Space Free | Partition Type: NTFS E: Drive not present or media not loaded Drive F: | 3.73 Gb Total Space | 3.70 Gb Free Space | 99.31% Space Free | Partition Type: FAT32 G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: TERMINAL-ETAGE Current User Name: Dubot Logged in as Administrator. Current Boot Mode: SafeMode Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal [color=#E56717]========== Processes (SafeList) ==========[/color] PRC - C:\Documents and Settings\Dubot\Bureau\OTL.exe (OldTimer Tools) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) [color=#E56717]========== Modules (SafeList) ==========[/color] MOD - C:\Documents and Settings\Dubot\Bureau\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) [color=#E56717]========== Win32 Services (SafeList) ==========[/color] SRV - (gojxvlyv) -- C:\WINDOWS\System32\ubguuut.dll File not found SRV - (ResultDns Service) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\ResultDns\resultdns111.exe () SRV - (maconfservice) -- C:\Program Files\ma-config.com\maconfservice.exe (CybelSoft) SRV - (Apple Mobile Device) -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Program Files\WinPcap\rpcapd.exe (CACE Technologies, Inc.) SRV - (MSCamSvc) -- C:\Program Files\Microsoft LifeCam\MSCamS32.exe (Microsoft Corporation) SRV - (a2free) -- C:\PROGRAM FILES\A-SQUARED FREE\a2service.exe (Emsi Software GmbH) SRV - (avast! Antivirus) -- C:\Program Files\Alwil Software\Avast4\ashServ.exe (ALWIL Software) SRV - (avast! Mail Scanner) -- C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (ALWIL Software) SRV - (avast! Web Scanner) -- C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (ALWIL Software) SRV - (aswUpdSv) -- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (ALWIL Software) SRV - (NMIndexingService) -- C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (Nero AG) SRV - (AntiVirScheduler) -- C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH) SRV - (AntiVirService) -- C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH) SRV - (LVSrvLauncher) -- C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe (Logitech Inc.) SRV - (ServiceLayer) -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (Nokia.) SRV - (ose) -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (MDM) -- C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation) [color=#E56717]========== Driver Services (SafeList) ==========[/color] DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\System32\DRIVERS\wanatw4.sys File not found DRV - (PID_PEPI) Logitech QuickCam IM(PID_PEPI) -- C:\WINDOWS\System32\DRIVERS\LV302V32.SYS File not found DRV - (driverhardwarev2) -- C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys (CybelSoft) DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies, Inc.) DRV - (nmwcdnsu) -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys (Nokia) DRV - (nmwcdnsuc) -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys (Nokia) DRV - (MSHUSBVideo) -- C:\WINDOWS\system32\drivers\nx6000.sys (Microsoft Corporation) DRV - (ASCTRM) -- C:\WINDOWS\System32\drivers\asctrm.sys (Windows (R) 2000 DDK provider) DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia) DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia) DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia) DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia) DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (ALWIL Software) DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (ALWIL Software) DRV - (aswFsBlk) -- C:\WINDOWS\system32\drivers\aswFsBlk.sys (ALWIL Software) DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (ALWIL Software) DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (ALWIL Software) DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (ALWIL Software) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (nvsmu) -- C:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation) DRV - (LUsbFilt) -- C:\WINDOWS\system32\drivers\LUsbFilt.sys (Logitech, Inc.) DRV - (LMouKE) -- C:\WINDOWS\system32\drivers\LMouKE.Sys (Logitech Inc.) DRV - (LMouFilt) -- C:\WINDOWS\system32\drivers\LMouFilt.Sys (Logitech, Inc.) DRV - (LHidFilt) -- C:\WINDOWS\system32\drivers\LHidFilt.Sys (Logitech, Inc.) DRV - (L8042mou) -- C:\WINDOWS\system32\drivers\L8042mou.Sys (Logitech Inc.) DRV - (L8042Kbd) -- C:\WINDOWS\system32\drivers\L8042Kbd.sys (Logitech Inc.) DRV - (avgntflt) -- C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys (Avira GmbH) DRV - (LVMVDrv) -- C:\WINDOWS\system32\drivers\LVMVdrv.sys (Logitech Inc.) DRV - (LVcKap) -- C:\WINDOWS\system32\drivers\Lvckap.sys () DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell) DRV - (speedfan) -- C:\WINDOWS\system32\speedfan.sys (Windows (R) 2000 DDK provider) DRV - (PID_08A0) QuickCam IM(PID_08A0) -- C:\WINDOWS\system32\drivers\LV302AV.SYS (Logitech Inc.) DRV - (pepifilter) -- C:\WINDOWS\system32\drivers\lv302af.sys (Logitech Inc.) DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (usbaudio) Pilote USB audio (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (giveio) -- C:\WINDOWS\system32\giveio.sys () [color=#E56717]========== Standard Registry (SafeList) ==========[/color] [color=#E56717]========== Internet Explorer ==========[/color] IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.tangotoolbar.com/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6522 [color=#E56717]========== FireFox ==========[/color] FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaulturl: "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.google.fr/firefox" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2 FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.8 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {1A615EA8-4C56-49EE-BE83-F9A264B79997}:1.0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/08/18 03:11:03 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010/07/24 15:59:28 | 000,000,000 | ---D | M] [2009/02/11 00:33:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Application Data\Mozilla\Extensions [2010/08/18 03:26:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Application Data\Mozilla\Firefox\Profiles\ilmmrfdy.default\extensions [2010/05/24 20:53:09 | 000,000,000 | ---D | M] (FireFTP) -- C:\Documents and Settings\Dubot\Application Data\Mozilla\Firefox\Profiles\ilmmrfdy.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f} [2010/05/04 12:55:32 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Dubot\Application Data\Mozilla\Firefox\Profiles\ilmmrfdy.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66} [2010/05/24 20:53:09 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Documents and Settings\Dubot\Application Data\Mozilla\Firefox\Profiles\ilmmrfdy.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010/08/18 03:26:49 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions [2010/08/18 03:10:48 | 000,000,000 | ---D | M] (ResultDns) -- C:\Program Files\Mozilla Firefox\extensions\{1A615EA8-4C56-49EE-BE83-F9A264B79997} [2010/08/18 03:11:02 | 000,211,456 | ---- | M] () -- C:\Program Files\Mozilla Firefox\components\gpff.dll [2010/03/12 19:08:34 | 000,001,516 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml [2010/03/12 19:08:34 | 000,001,822 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\cnrtl-tlfi-fr.xml [2010/03/12 19:08:34 | 000,000,757 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml [2006/09/10 13:35:08 | 000,000,748 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml [2010/03/12 19:08:35 | 000,001,426 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml [2010/03/24 11:07:44 | 000,000,956 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml O1 HOSTS File: ([2001/08/24 14:00:00 | 000,000,790 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (EoBho Class) - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll File not found O2 - BHO: (Tango) - {7F23F4BD-1E50-4489-A9DF-083C6ADEB9EC} - C:\WINDOWS\system32\5b78.dll () O2 - BHO: () - {84025FE1-B5C6-4C8B-A991-9F2BC3E2B4E8} - C:\WINDOWS\System32\ubguuut.dll File not found O3 - HKLM\..\Toolbar: (Tango) - {7F23F4BC-1E50-4489-A9DF-083C6ADEB9EC} - C:\WINDOWS\system32\5b78.dll () O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Tango) - {7F23F4BC-1E50-4489-A9DF-083C6ADEB9EC} - C:\WINDOWS\system32\5b78.dll () O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avast!] C:\Program Files\Alwil Software\Avast4\ashDisp.exe (ALWIL Software) O4 - HKLM..\Run: [avgnt] C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ItsTV] C:\Program Files\ItsLabel\ItsTV.exe File not found O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech Inc.) O4 - HKLM..\Run: [LifeCam] C:\Program Files\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation) O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech Inc.) O4 - HKLM..\Run: [LogitechCommunicationsManager] C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe (Logitech Inc.) O4 - HKLM..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe (Logitech Inc.) O4 - HKLM..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe (Logitech Inc.) O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.) O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe (RealNetworks, Inc.) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKCU..\Run: [dccryjbp] C:\Documents and Settings\Dubot\Local Settings\Application Data\iswgmfjea\ibpvkjmshdw.exe () O4 - HKCU..\Run: [GabPath] C:\Documents and Settings\Dubot\Application Data\GabPath\gabpath.exe () O4 - HKCU..\Run: [LogitechSoftwareUpdate] C:\Program Files\Logitech\Video\ManifestEngine.exe (Logitech Inc.) O4 - HKCU..\Run: [SfKg6wIPuSp] C:\Documents and Settings\Dubot\Application Data\Microsoft\Windows\jnipmo.exe () O4 - Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe (Logitech Inc.) O4 - Startup: C:\Documents and Settings\Dubot\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: MemCheckBoxInRunDlg = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMBalloonTip = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoTrayItemsDisplay = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStrCmpLogical = 0 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Ma page d'accueil) - About:Home O24 - Desktop WallPaper: D:\Julien\Musique\Pique La Lune !\Site\squelette.gif O24 - Desktop BackupWallPaper: D:\Antoine\Musique\sdfng.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008/07/04 23:05:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{712d5e7a-9729-11df-8eaa-00e061082b99}\Shell\AutoRun\command - "" = ie.exe O33 - MountPoints2\{712d5e7a-9729-11df-8eaa-00e061082b99}\Shell\explore\Command - "" = ie.exe O33 - MountPoints2\{712d5e7a-9729-11df-8eaa-00e061082b99}\Shell\open\Command - "" = ie.exe O33 - MountPoints2\{af970ca0-3e3e-11de-8c53-00e061082b99}\Shell\AutoRun\command - "" = ie.exe O33 - MountPoints2\{af970ca0-3e3e-11de-8c53-00e061082b99}\Shell\explore\Command - "" = ie.exe O33 - MountPoints2\{af970ca0-3e3e-11de-8c53-00e061082b99}\Shell\open\Command - "" = ie.exe O33 - MountPoints2\{c148480e-7c03-11dd-8fae-00e061082b99}\Shell - "" = AutoRun O33 - MountPoints2\{c148480e-7c03-11dd-8fae-00e061082b99}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found O33 - MountPoints2\{e7aa1f22-22c5-11de-8c26-00e061082b99}\Shell\AutoRun\command - "" = ie.exe O33 - MountPoints2\{e7aa1f22-22c5-11de-8c26-00e061082b99}\Shell\explore\Command - "" = ie.exe O33 - MountPoints2\{e7aa1f22-22c5-11de-8c26-00e061082b99}\Shell\open\Command - "" = ie.exe O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* [color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color] [2010/08/18 13:44:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010/08/18 13:33:02 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Dubot\Bureau\OTL.exe [2010/08/18 13:32:31 | 000,000,000 | ---D | C] -- C:\32788R22FWJFW [2010/08/18 03:16:45 | 000,051,376 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys [2010/08/18 03:16:45 | 000,023,152 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys [2010/08/18 03:16:44 | 000,097,480 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\AvastSS.scr [2010/08/18 03:16:44 | 000,026,944 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys [2010/08/18 03:16:43 | 000,114,768 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswSP.sys [2010/08/18 03:16:43 | 000,094,032 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys [2010/08/18 03:16:43 | 000,093,296 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswmon.sys [2010/08/18 03:16:43 | 000,020,560 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys [2010/08/18 03:16:30 | 001,256,296 | ---- | C] (ALWIL Software) -- C:\WINDOWS\System32\aswBoot.exe [2010/08/18 03:11:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dubot\Application Data\Street-Ads [2010/08/18 03:11:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dubot\Application Data\Sky-Banners [2010/08/18 03:10:47 | 000,000,000 | ---D | C] -- C:\Program Files\ResultDns [2010/08/18 03:10:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\ResultDns [2010/08/18 03:10:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dubot\Local Settings\Application Data\iswgmfjea [2010/08/18 03:10:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dubot\Application Data\GabPath [2010/08/18 03:10:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dubot\Local Settings\Application Data\Windows Server [2010/08/18 03:10:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dubot\Application Data\A7D6AF9EF4FC583784AA19F4518F7FB0 [2010/08/15 11:55:53 | 000,000,000 | ---D | C] -- C:\Program Files\RegCleaner [2010/08/02 10:11:41 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Documents\Avatar [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [color=#E56717]========== Files - Modified Within 30 Days ==========[/color] [2010/08/18 16:26:50 | 000,786,944 | ---- | M] () -- C:\WINDOWS\System32\drivers\dykmukw.sys [2010/08/18 13:49:21 | 000,163,166 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\regedit.JPG [2010/08/18 13:49:15 | 004,608,054 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\regedit.bmp [2010/08/18 13:46:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010/08/18 13:45:12 | 006,553,600 | -H-- | M] () -- C:\Documents and Settings\Dubot\NTUSER.DAT [2010/08/18 13:45:10 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010/08/18 13:45:00 | 004,861,354 | -H-- | M] () -- C:\Documents and Settings\Dubot\Local Settings\Application Data\IconCache.db [2010/08/18 13:34:28 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Dubot\Bureau\OTL.exe [2010/08/18 04:59:16 | 000,000,184 | -HS- | M] () -- C:\Documents and Settings\Dubot\ntuser.ini [2010/08/18 03:16:45 | 000,001,715 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Bureau\avast! Antivirus.lnk [2010/08/18 03:16:43 | 000,003,121 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT [2010/08/18 03:10:36 | 000,815,104 | ---- | M] () -- C:\WINDOWS\System32\5b78.dll [2010/08/17 19:10:24 | 000,058,368 | ---- | M] () -- D:\Mes Documents\MY CAPRICE IS RICH.doc [2010/08/17 11:44:06 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010/08/15 20:47:32 | 000,002,009 | ---- | M] () -- C:\WINDOWS\System32\AUTOEXEC.NT [2010/08/15 20:47:32 | 000,000,250 | ---- | M] () -- C:\WINDOWS\system.ini [2010/08/15 11:56:16 | 000,000,651 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\RegCleaner.lnk [2010/08/13 11:14:20 | 000,058,880 | ---- | M] () -- D:\Mes Documents\cv 2009 Fabrice DUBOT.doc [2010/08/03 20:23:20 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [color=#E56717]========== Files Created - No Company Name ==========[/color] [2010/08/18 13:49:21 | 000,163,166 | ---- | C] () -- C:\Documents and Settings\Dubot\Bureau\regedit.JPG [2010/08/18 13:49:14 | 004,608,054 | ---- | C] () -- C:\Documents and Settings\Dubot\Bureau\regedit.bmp [2010/08/18 03:16:45 | 000,001,715 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS\Bureau\avast! Antivirus.lnk [2010/08/18 03:10:44 | 000,786,944 | ---- | C] () -- C:\WINDOWS\System32\drivers\dykmukw.sys [2010/08/18 03:10:36 | 000,815,104 | ---- | C] () -- C:\WINDOWS\System32\5b78.dll [2010/08/15 11:55:55 | 000,000,651 | ---- | C] () -- C:\Documents and Settings\Dubot\Bureau\RegCleaner.lnk [2010/06/27 19:58:44 | 000,009,255 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini [2010/06/24 23:57:05 | 000,300,896 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat [2010/06/08 01:10:19 | 000,473,600 | ---- | C] () -- C:\WINDOWS\System32\oldharmony.dll [2010/01/09 15:36:50 | 000,000,060 | ---- | C] () -- C:\WINDOWS\HFREP.INI [2010/01/09 15:36:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\WD.INI [2009/10/20 20:19:30 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2009/09/17 23:52:36 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009/02/19 15:56:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\stmchart.INI [2009/02/14 18:14:15 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\Unlha32.dll [2009/02/09 21:33:55 | 000,000,012 | ---- | C] () -- C:\WINDOWS\msoffice.ini [2009/01/26 19:48:00 | 000,010,107 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS\Application Data\hpzinstall.log [2008/10/20 20:27:55 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008/10/12 20:43:34 | 000,033,792 | ---- | C] () -- C:\Documents and Settings\Dubot\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008/07/16 17:37:17 | 000,000,295 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2008/07/16 17:37:01 | 000,001,201 | ---- | C] () -- C:\WINDOWS\wininit.ini [2008/07/05 00:27:31 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll [2008/07/05 00:22:18 | 000,611,064 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2008/07/05 00:18:36 | 000,000,385 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007/10/04 11:14:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007/10/04 11:14:00 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007/10/04 11:14:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007/10/04 11:14:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007/10/04 11:14:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2007/02/06 18:42:40 | 001,691,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\Lvckap.sys [2004/12/20 12:08:28 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2004/12/20 12:03:26 | 000,679,936 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2004/08/19 17:09:28 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll [2002/12/14 23:46:02 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\oggDS.dll [2002/12/14 23:46:02 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll [2002/12/14 23:46:02 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll [2002/12/14 22:46:04 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll [2002/11/15 14:11:26 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\MMSwitch.dll [1996/04/03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< %SYSTEMDRIVE%\*.exe >[/color] [color=#A23BEC]< MD5 for: AGP440.SYS >[/color] [2006/05/09 10:11:17 | 017,104,107 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [color=#A23BEC]< MD5 for: ATAPI.SYS >[/color] [2006/05/09 10:11:17 | 017,104,107 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2004/08/03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys [color=#A23BEC]< MD5 for: EVENTLOG.DLL >[/color] [2004/08/19 17:09:26 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=49B1376885340BF9EA0D99F71557B59A -- C:\WINDOWS\system32\dllcache\eventlog.dll [2004/08/19 17:09:26 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=49B1376885340BF9EA0D99F71557B59A -- C:\WINDOWS\system32\eventlog.dll [color=#A23BEC]< MD5 for: NETLOGON.DLL >[/color] [2004/08/19 17:09:38 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D4CFAC76926C24E32B7F25A35C31BC6E -- C:\WINDOWS\system32\dllcache\netlogon.dll [2004/08/19 17:09:38 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D4CFAC76926C24E32B7F25A35C31BC6E -- C:\WINDOWS\system32\netlogon.dll [color=#A23BEC]< MD5 for: SCECLI.DLL >[/color] [2004/08/19 17:09:40 | 000,186,368 | ---- | M] (Microsoft Corporation) MD5=58D439F6EF73A2D9288B204E819F4BBD -- C:\WINDOWS\system32\dllcache\scecli.dll [2004/08/19 17:09:40 | 000,186,368 | ---- | M] (Microsoft Corporation) MD5=58D439F6EF73A2D9288B204E819F4BBD -- C:\WINDOWS\system32\scecli.dll [color=#A23BEC]< %systemroot%\*. /mp /s >[/color] [color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color] [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] [color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color] [color=#E56717]========== Alternate Data Streams ==========[/color] @Alternate Data Stream - 144 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:24051EFF < End of report > [2010/08/18 16:29:50 | 000,786,944 | ---- | M] () -- C:\WINDOWS\System32\drivers\dykmukw.sys [2010/08/18 16:29:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Bureau [2010/08/18 16:26:07 | 000,704,512 | -H-- | M] () -- C:\Documents and Settings\Dubot\ntuser.dat.LOG [2010/08/18 16:24:00 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Dubot\Recent [2010/08/18 13:49:21 | 000,163,166 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\regedit.JPG [2010/08/18 13:49:15 | 004,608,054 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\regedit.bmp [2010/08/18 13:46:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010/08/18 13:45:12 | 006,553,600 | -H-- | M] () -- C:\Documents and Settings\Dubot\NTUSER.DAT [2010/08/18 13:45:10 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010/08/18 13:45:00 | 004,861,354 | -H-- | M] () -- C:\Documents and Settings\Dubot\Local Settings\Application Data\IconCache.db [2010/08/18 13:34:28 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Dubot\Bureau\OTL.exe [2010/08/18 13:09:28 | 000,000,000 | --SD | M] -- C:\Documents and Settings\Dubot\Cookies [2010/08/18 04:59:16 | 000,000,184 | -HS- | M] () -- C:\Documents and Settings\Dubot\ntuser.ini [2010/08/18 03:31:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft [2010/08/18 03:16:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Application Data\BitTorrent [2010/08/18 03:16:45 | 000,001,715 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Bureau\avast! Antivirus.lnk [2010/08/18 03:16:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Bureau [2010/08/18 03:16:43 | 000,003,121 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT [2010/08/18 03:16:28 | 000,000,000 | ---D | M] -- C:\Program Files\Alwil Software [2010/08/18 03:13:01 | 000,000,000 | ---D | M] -- C:\Program Files\ResultDns [2010/08/18 03:12:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\ResultDns [2010/08/18 03:11:05 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\Dubot\Application Data [2010/08/18 03:11:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Application Data\Street-Ads [2010/08/18 03:11:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Application Data\Sky-Banners [2010/08/18 03:10:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Application Data\GabPath [2010/08/18 03:10:47 | 000,000,000 | RH-D | M] -- C:\Documents and Settings\All Users.WINDOWS\Application Data [2010/08/18 03:10:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Local Settings\Application Data\iswgmfjea [2010/08/18 03:10:36 | 000,815,104 | ---- | M] () -- C:\WINDOWS\System32\5b78.dll [2010/08/18 03:10:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Local Settings\Application Data\Windows Server [2010/08/18 03:10:20 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Dubot\Modèles [2010/08/18 03:10:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dubot\Application Data\A7D6AF9EF4FC583784AA19F4518F7FB0 [2010/08/17 19:10:24 | 000,058,368 | ---- | M] () -- D:\Mes Documents\MY CAPRICE IS RICH.doc [2010/08/17 11:44:06 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010/08/15 21:57:53 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\Dubot\Voisinage réseau [2010/08/15 20:47:32 | 000,002,009 | ---- | M] () -- C:\WINDOWS\System32\AUTOEXEC.NT [2010/08/15 20:47:32 | 000,000,250 | ---- | M] () -- C:\WINDOWS\system.ini [2010/08/15 12:03:42 | 000,000,000 | ---D | M] -- C:\Program Files\RegCleaner [2010/08/15 11:56:16 | 000,000,651 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\RegCleaner.lnk [2010/08/13 13:04:00 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox [2010/08/13 11:14:20 | 000,058,880 | ---- | M] () -- D:\Mes Documents\cv 2009 Fabrice DUBOT.doc [2010/08/03 20:23:20 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010/08/02 16:48:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Alwil Software [2010/08/02 10:13:03 | 000,000,000 | R--D | M] -- C:\Documents and Settings\All Users.WINDOWS\Documents [2010/07/04 02:49:48 | 000,300,896 | ---- | M] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat [2010/07/04 00:36:05 | 000,068,760 | ---- | M] () -- C:\Documents and Settings\Dubot\Local Settings\Application Data\GDIPFONTCACHEV1.DAT [2010/07/03 19:09:57 | 000,033,792 | ---- | M] () -- C:\Documents and Settings\Dubot\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010/03/22 15:52:04 | 000,010,107 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Application Data\hpzinstall.log [2008/07/05 00:59:54 | 000,000,062 | -HS- | M] () -- C:\Documents and Settings\Dubot\Application Data\desktop.ini [2008/07/05 00:59:54 | 000,000,062 | -HS- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Application Data\desktop.ini [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [color=#E56717]========== Files - Modified Within 30 Days ==========[/color] [2010/08/18 16:30:10 | 000,786,944 | ---- | M] () -- C:\WINDOWS\System32\drivers\dykmukw.sys [2010/08/18 13:49:21 | 000,163,166 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\regedit.JPG [2010/08/18 13:49:15 | 004,608,054 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\regedit.bmp [2010/08/18 13:46:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010/08/18 13:45:12 | 006,553,600 | -H-- | M] () -- C:\Documents and Settings\Dubot\NTUSER.DAT [2010/08/18 13:45:10 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010/08/18 13:45:00 | 004,861,354 | -H-- | M] () -- C:\Documents and Settings\Dubot\Local Settings\Application Data\IconCache.db [2010/08/18 13:34:28 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Dubot\Bureau\OTL.exe [2010/08/18 04:59:16 | 000,000,184 | -HS- | M] () -- C:\Documents and Settings\Dubot\ntuser.ini [2010/08/18 03:16:45 | 000,001,715 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Bureau\avast! Antivirus.lnk [2010/08/18 03:16:43 | 000,003,121 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT [2010/08/18 03:10:36 | 000,815,104 | ---- | M] () -- C:\WINDOWS\System32\5b78.dll [2010/08/17 19:10:24 | 000,058,368 | ---- | M] () -- D:\Mes Documents\MY CAPRICE IS RICH.doc [2010/08/17 11:44:06 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010/08/15 20:47:32 | 000,002,009 | ---- | M] () -- C:\WINDOWS\System32\AUTOEXEC.NT [2010/08/15 20:47:32 | 000,000,250 | ---- | M] () -- C:\WINDOWS\system.ini [2010/08/15 11:56:16 | 000,000,651 | ---- | M] () -- C:\Documents and Settings\Dubot\Bureau\RegCleaner.lnk [2010/08/13 11:14:20 | 000,058,880 | ---- | M] () -- D:\Mes Documents\cv 2009 Fabrice DUBOT.doc [2010/08/03 20:23:20 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< %SYSTEMDRIVE%\*.exe >[/color] [color=#A23BEC]< MD5 for: AGP440.SYS >[/color] [2006/05/09 10:11:17 | 017,104,107 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [color=#A23BEC]< MD5 for: ATAPI.SYS >[/color] [2006/05/09 10:11:17 | 017,104,107 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2004/08/03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys [color=#A23BEC]< MD5 for: EVENTLOG.DLL >[/color] [2004/08/19 17:09:26 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=49B1376885340BF9EA0D99F71557B59A -- C:\WINDOWS\system32\dllcache\eventlog.dll [2004/08/19 17:09:26 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=49B1376885340BF9EA0D99F71557B59A -- C:\WINDOWS\system32\eventlog.dll [color=#A23BEC]< MD5 for: NETLOGON.DLL >[/color] [2004/08/19 17:09:38 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D4CFAC76926C24E32B7F25A35C31BC6E -- C:\WINDOWS\system32\dllcache\netlogon.dll [2004/08/19 17:09:38 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D4CFAC76926C24E32B7F25A35C31BC6E -- C:\WINDOWS\system32\netlogon.dll [color=#A23BEC]< MD5 for: SCECLI.DLL >[/color] [2004/08/19 17:09:40 | 000,186,368 | ---- | M] (Microsoft Corporation) MD5=58D439F6EF73A2D9288B204E819F4BBD -- C:\WINDOWS\system32\dllcache\scecli.dll [2004/08/19 17:09:40 | 000,186,368 | ---- | M] (Microsoft Corporation) MD5=58D439F6EF73A2D9288B204E819F4BBD -- C:\WINDOWS\system32\scecli.dll [color=#A23BEC]< %systemroot%\*. /mp /s >[/color] [color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color] [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] [color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color] [color=#E56717]========== Alternate Data Streams ==========[/color] @Alternate Data Stream - 144 bytes -> C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP:24051EFF < End of report >

bernard53 · le 18 Aoû 2010 15:56

OK très bien. Ceci dans cet ordre s.t.p

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
SRV - (gojxvlyv) -- C:\WINDOWS\System32\ubguuut.dll File not found
SRV - (ResultDns Service) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\ResultDns\resultdns111.exe ()
DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\System32\DRIVERS\wanatw4.sys File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:6522
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2010/08/18 03:11:02 | 000,211,456 | ---- | M] () -- C:\Program Files\Mozilla Firefox\components\gpff.dll
O2 - BHO: (EoBho Class) - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll File not found
O2 - BHO: (Tango) - {7F23F4BD-1E50-4489-A9DF-083C6ADEB9EC} - C:\WINDOWS\system32\5b78.dll ()
O2 - BHO: () - {84025FE1-B5C6-4C8B-A991-9F2BC3E2B4E8} - C:\WINDOWS\System32\ubguuut.dll File not found
O3 - HKLM\..\Toolbar: (Tango) - {7F23F4BC-1E50-4489-A9DF-083C6ADEB9EC} - C:\WINDOWS\system32\5b78.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Tango) - {7F23F4BC-1E50-4489-A9DF-083C6ADEB9EC} - C:\WINDOWS\system32\5b78.dll ()
O4 - HKCU\..\Run: [dccryjbp] C:\Documents and Settings\Dubot\Local Settings\Application Data\iswgmfjea\ibpvkjmshdw.exe ()
O4 - HKCU\..\Run: [GabPath] C:\Documents and Settings\Dubot\Application Data\GabPath\gabpath.exe ()
O4 - HKCU\..\Run: [SfKg6wIPuSp] C:\Documents and Settings\Dubot\Application Data\Microsoft\Windows\jnipmo.exe ()
O33 - MountPoints2\{712d5e7a-9729-11df-8eaa-00e061082b99}\Shell\AutoRun\command - "" = ie.exe
O33 - MountPoints2\{712d5e7a-9729-11df-8eaa-00e061082b99}\Shell\explore\Command - "" = ie.exe
O33 - MountPoints2\{712d5e7a-9729-11df-8eaa-00e061082b99}\Shell\open\Command - "" = ie.exe
O33 - MountPoints2\{af970ca0-3e3e-11de-8c53-00e061082b99}\Shell\AutoRun\command - "" = ie.exe
O33 - MountPoints2\{af970ca0-3e3e-11de-8c53-00e061082b99}\Shell\explore\Command - "" = ie.exe
O33 - MountPoints2\{af970ca0-3e3e-11de-8c53-00e061082b99}\Shell\open\Command - "" = ie.exe
O33 - MountPoints2\{e7aa1f22-22c5-11de-8c26-00e061082b99}\Shell\AutoRun\command - "" = ie.exe
O33 - MountPoints2\{e7aa1f22-22c5-11de-8c26-00e061082b99}\Shell\explore\Command - "" = ie.exe
O33 - MountPoints2\{e7aa1f22-22c5-11de-8c26-00e061082b99}\Shell\open\Command - "" = ie.exe
[2010/08/18 03:10:44 | 000,786,944 | ---- | C] () -- C:\WINDOWS\System32\drivers\dykmukw.sys
[2010/08/18 03:10:36 | 000,815,104 | ---- | C] () -- C:\WINDOWS\System32\5b78.dll

:Files
C:\Documents and Settings\Dubot\Application Data\Street-Ads
C:\Documents and Settings\Dubot\Application Data\Sky-Banners
C:\Program Files\ResultDns
C:\Documents and Settings\All Users.WINDOWS\Application Data\ResultDns
C:\Documents and Settings\Dubot\Application Data\GabPath
C:\WINDOWS\System32\drivers\dykmukw.sys
C:\WINDOWS\System32\5b78.dll
:commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
[clearallrestorepoints]
[createrestorepoint]
[reboot]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Puis::

Désactive ton anti Virus avant le scan car il bloque sur la désinfection

Télécharge USBFix depuis ce lien : <<ICI>> ou <<LA>>

Double cliquez sur "UsbFix.exe" présent sur votre bureau.
L'installation est automatique.
Branche tes lecteurs externes
Valide Suppression
Une fois l'analyse terminée, un rapport de scan vous est proposé...

CTRL+A pour tout sélectionner
CTRL+C pour copier
CTRL+V pour coller dans la réponse

Puis vérifies ceci.

o Désactivez le proxy ajouté par l'infection pour cela :

o Sur Firefox, Outils /Options puis onglet Avancés.
o Cliquez sur Réseau et Paramètres.
o Choisissez "Ne pas mettre de Proxy".

o Sur Internet Explorer , c'est le menu Outils / Options Internet.
o Onglet Connexions puis Paramètres réseau--> désactiver le proxy.
* Redémarrez l'ordinateur

nankech7 · le 18 Aoû 2010 15:59

Toujours en mode sans échec ?

bernard53 · le 18 Aoû 2010 16:24

Oui si au cas cela bloque en normal.

infection Win32:Bubak[Rtk]

infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Re: infection Win32:Bubak[Rtk]

Sujets similaires

Qui est en ligne