cheval de troie [Résolu]

Bonjour,

J'ai effectué un scan sur panda software (version gratuite) et un cheval de troie a entre autre été détecté. J'ai vu sur d'autres messages que l'on suggérait un scan avec HiJackThis. Alors voici le résultat. Quelqu'un pourrait m'aider svp?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:06, on 2011-04-03
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Tous le minde\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=14196&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Mhivitigokidonot] rundll32.exe "C:\WINDOWS\ikapiguyor.dll",Startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mdalodowur] rundll32.exe "C:\WINDOWS\OVCI2R.dll",Startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: McAfee Security Scan.lnk = ?
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4133733E-B42D-4D18-BADD-813AA18E6335}: NameServer = 93.188.165.116,93.188.160.156
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.165.116,93.188.160.156
O17 - HKLM\System\CS1\Services\Tcpip\..\{4133733E-B42D-4D18-BADD-813AA18E6335}: NameServer = 93.188.165.116,93.188.160.156
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.165.116,93.188.160.156
O18 - Protocol: intu-ir2009 - {E4616804-F2F8-4839-B728-5305004DA6A7} - C:\Program Files\ImpotRapide 2009\ic2009pp.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service Google Update (gupdate1ca819b64cf158c) (gupdate1ca819b64cf158c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 8579 bytes


Merci pour tout!

Salut



* Tu as un détournement des DNS qui pointent vers >> Ukraine Promnet Ltd

* Fais dans l ordre


1) • Lances Hijackthis
• Cliques sur => Do a System Scan Only
• coches ces Lignes

• Fermes tes autres applications
• Cliques sur => Fix Checked

*Redémarres ton PC

ensuite


2) • Télécharges Malwarebytes' (mbam)


* ICI >>Malwarebytes' (mbam)

ou

* ICI >Malwarebytes' (mbam)



• installes + mise a jour
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
• Lances--> Malwarebytes (MBAM)
• Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
• puis "Rechercher"
• Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
• A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
• Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection.
• S'il t' es demandé de redémarrer, clique sur "oui "
• aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
!!! Ne pas vider la quarantaine de MBAM sans avis !!!



3) • Télécharge ZHPDiag (de Nicolas coolman)
>> ZHPDiag (de Nicolas coolman)

• Une fois le téléchargement achevé,
• double clique sur ZHPDiag.exe et suis les instructions.
• /!\Utilisateurs de Windows Vista et Windows 7
>> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
• • L'outil va créer 3 icônes ZHPDiag >

• >> ZHPFix > sur ton Bureau

• et >> MBRcheck

• Laisse toi guider lors de l'installation,
• N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• Il se lancera automatiquement à la fin.

• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site,
>> cijoint.fr
• puis copie/colle le lien fourni

Pour le rapport
• Rends toi sur >> cijoint.fr
• clic sur Parcourir
• trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
• et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
• Un lien de ce genre [http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt] te sera généré,
• Il te suffit de le poster

* Sinon essayes ici

* Rends toi sur >> malekal.com
* Clique sur "Parcourir "
* Sélectionne le rapport
*Clique ensuite sur " Envoyer le fichier " et copie/colle le lien dans ton prochain message


@+ VIRUS/C/C

Bonjour,

J'ai effectué la première étape, j'ai téléchargé Malwarebytes mais je suis incapable de l'exécuter. Y a-t-il une raison ou puis-je télécharger un autre programme?

Merci

Salut



* Essayes ainsi



1) Démarre en >> Mode sans échec avec prise en charge réseau
fais ainsi
* Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
* Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
puis tape entrée.
* Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)

toujours en MSE


2)• Lances--> Malwarebytes (MBAM)

• >> Fais la mise à jour
• Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
• puis "Rechercher"
• Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
• A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
• Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection.
• S'il t' es demandé de redémarrer, clique sur "oui "
• aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
!!! Ne pas vider la quarantaine de MBAM sans avis !!!


@+ VIRUS/C/C

Voici le résultat du scan merci infiniment!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6281

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

2011-04-05 18:39:08
mbam-log-2011-04-05 (18-39-08).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 251978
Temps écoulé: 32 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Mhivitigokidonot (Trojan.Agent) -> Value: Mhivitigokidonot -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Mdalodowur (Trojan.Hiloti.Gen) -> Value: Mdalodowur -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\ikapiguyor.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\OVCI2R.dll (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\julie beauregard\mes documents\mes fichiers reçus\bpssr.exe (Rogue.BulletProofSpyware) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\0.6922097689357776.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\196.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\19B.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\19E.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\19F.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\asxwroncme.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\cmrnaesxow.tmp (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\msgpl_4710.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\tous le minde\local settings\Temp\msgpl_d26a.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{bd2282f1-a506-4054-936a-22a612ce7eec}\RP474\A0100099.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\system volume information\_restore{bd2282f1-a506-4054-936a-22a612ce7eec}\RP474\A0100100.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

Salut

* c est dans la restauration de ton Système que l on désactivera plus tard !!!




1) * Lances Malwarebytes
* cliques sur >> quarantaine >> sélectionnes tout et supprimes tout ok !!
* si il te demande de redémarrer >> redémarre ton PC
et
* Fais la mise a jour !!

* tu refais avec Malwarebytes une analyse rapide + Suppression(s) de ce que tu trouveras éventuellement

* Poste le rapport




2) • Télécharge ZHPDiag (de Nicolas coolman)
>> ZHPDiag (de Nicolas coolman)

• Une fois le téléchargement achevé,
• double clique sur ZHPDiag.exe et suis les instructions.
• /!\Utilisateurs de Windows Vista et Windows 7
>> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
• • L'outil va créer 3 icônes ZHPDiag >

• >> ZHPFix > sur ton Bureau

• et >> MBRcheck

• Laisse toi guider lors de l'installation,
• N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• Il se lancera automatiquement à la fin.

• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site,
>> cijoint.fr
• puis copie/colle le lien fourni

Pour le rapport
• Rends toi sur >> cijoint.fr
• clic sur Parcourir
• trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
• et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
• Un lien de ce genre [http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt] te sera généré,
• Il te suffit de le poster

* Sinon essayes ici

* Rends toi sur >> malekal.com
* Clique sur "Parcourir "
* Sélectionne le rapport
*Clique ensuite sur " Envoyer le fichier " et copie/colle le lien dans ton prochain message


@+ VIRUS/C/C

Bonjour voici le dernier rapport! Encore une fois merci pour tout!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6283

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

2011-04-06 05:41:29
mbam-log-2011-04-06 (05-41-29).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 172824
Temps écoulé: 7 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Je ne sais pas si c'est ici que je dois poster le rapport de ZHPDiag (je me sens un peu blonde en ce moment) mais bon le voici...

http://www.cijoint.fr/cjlink.php?file=cj201104/cijoErZZiy.txt

Salut

* ZHPDiag tu aurais du le faire en Mode Normal ,mais bon .

* Si je ne le précise pas tu fais les Opérations en Mode Normal !!! Ok !!


Lis bien

1) • Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

ICI >> AD-Remover

/!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\

• Double-clique sur l'icône Ad-remover située sur ton Bureau.
• Sur la page, clique sur le bouton « Scanner »
• Confirme l'opération
• Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)



@+ [b]VIRUS/C/C[/b

Bonjour,

Voici le rapport de AD-Remover

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 06/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 17:05:57 le 06/04/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Tous le minde@LA_KANADA ( )

============== RECHERCHE ==============


Fichier trouvé: C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default\searchplugins\askcom.xml
Fichier trouvé: C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default\searchplugins\conduit.xml

-- Fichier ouvert: C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default\Prefs.js --
Ligne trouvée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne trouvée: user_pref("browser.search.defaultenginename", "Ask.com");
Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2452474&Sea...
Ligne trouvée: user_pref("browser.search.order.1", "Ask.com");
-- Fichier Fermé --


Clé trouvée: HKLM\Software\PopCap
Clé trouvée: HKCU\Software\PopCap
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

Plugins\nppopcaploader.dll (PopCap Games)
HKLM_Extensions|{C919712F-E6F1-409C-8B11-C3C132E1F5C0} - C:\Documents and Settings\Tous le minde\Local Settings\Application Data\{C919712F-E6F1-409C-8B11-C3C132E1F5C0}
HKLM_Extensions|{28AEE81C-7FC5-4B80-B386-5313D6A6FDC1} - C:\Documents and Settings\Julie Beauregard.LA_KANADA\Local Settings\Application Data\{28AEE81C-7FC5-4B80-B386-5313D6A6FDC1}\

-- C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default --
Extensions\{53724739-8c9b-4b6d-904d-de60ae2a431c} (Fbosf)
Searchplugins\askcom.xml (?)
Searchplugins\conduit.xml (hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2452474&SearchSource=3&q={searchTerms} /)
Prefs.js - browser.search.defaultenginename, Ask.com
Prefs.js - browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2452474&SearchSource=3&q={searchTerms}
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.ca/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
Prefs.js - keyword.URL,

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\37d2l839.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Search bar - hxxp://www.google.com/ie
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://www.ask.com/?o=14196&l=dis
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "Ask Search" (hxxp://websearch.ask.com/redirect?client=ie&tb=FWV5&o=&src=crm&q={searchTerms}&l...)
HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 06/04/2011 17:08:41 (3668 Octet(s))

Fin à: 17:09:51, 06/04/2011

============== E.O.F ==============

Salut




1) /!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\

• Double-clique sur l'icône Ad-remover située sur ton Bureau.
• Sur la page, clique sur le bouton « Nettoyer »
• Confirme l'opération
• Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

ensuite

2)* Télécharges et installes Ccleaner

* ICI >> Ccleaner

* Une fois sur le bureau, clic sur l'install de CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)


après


3)• Poste un nouveau ZHPDiag
• Héberge le rapport sur ce site,
>> ICI >> Cijoint.fr
• puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


• Pour t aider ,pour heberger le rapport
• rends toi sur >> Cijoint.fr

• clic sur Parcourir
• trouve >> le rapport ZHPDiag.txt que tu viens d'enregistrer qui doit par exemple être sur ton bureau
• et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
• un lien de ce genre [http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt] te sera généré,
• il te suffit de le poster ici pour que je puisse voir le rapport
• il te suffit de le poster ici


• Sinon tu postes le rapport en plusieurs parties>> mais en Entier bien sur !!!!

@+ VIRUS/C/C

Voici le rapport. Merci pour votre patience.


======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 06/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:09:00 le 07/04/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Tous le minde@LA_KANADA ( )

============== ACTION(S) ==============


Fichier supprimé: C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default\searchplugins\askcom.xml
Fichier supprimé: C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default\searchplugins\conduit.xml

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com");
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2452474&Sea...
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKCU\Software\PopCap
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

Plugins\nppopcaploader.dll (PopCap Games)
HKLM_Extensions|{C919712F-E6F1-409C-8B11-C3C132E1F5C0} - C:\Documents and Settings\Tous le minde\Local Settings\Application Data\{C919712F-E6F1-409C-8B11-C3C132E1F5C0}
HKLM_Extensions|{28AEE81C-7FC5-4B80-B386-5313D6A6FDC1} - C:\Documents and Settings\Julie Beauregard.LA_KANADA\Local Settings\Application Data\{28AEE81C-7FC5-4B80-B386-5313D6A6FDC1}\

-- C:\Documents and Settings\Tous le minde\Application Data\Mozilla\FireFox\Profiles\nxs4hj5j.default --
Extensions\{53724739-8c9b-4b6d-904d-de60ae2a431c} (Fbosf)
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.ca/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
Prefs.js - keyword.URL,

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\37d2l839.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/04/2011 20:09:14 (3376 Octet(s))
C:\Ad-Report-SCAN[1].txt - 06/04/2011 17:08:41 (4072 Octet(s))

Fin à: 20:10:57, 07/04/2011

============== E.O.F ==============

Voici le rapport ZHPDiag.txt

http://www.cijoint.fr/cjlink.php?file=cj201104/cijhbO2xhT.txt

Merci encore

Salut



TDL3 rootkit infection


* Je demande toute ton Attention !! Lis bien et respecte bien les Instructions

*Télécharger TDSSKiller et sauvegarde le sur ton bureau

* >> Ici >> TDSSKiller - kaspersky


* Décompresse l'archive sur ton bureau
* Une fois extrait, ouvre le dossier TDSSKiller et double-clic sur TDSSKiller.exe (l'extension ne peut ne pas apparaître) pour lancer l'application.
* Clic sur le bouton Start Scan

*

* Si un fichier infecté est détecté, l'action par défaut devrait le réparer, clic sur le bouton >> Continue

* Exemple : sptd.sys (driver Deamon tools)
* Il est possible que le redémarrage du PC soit nécessaire pour compléter le processus. Clic sur le bouton >> Reboot Now
* Si le redémarrage n'es pas requis, clic sur le bouton Report. Le rapport devrait s'ouvrir. Copie/colle le contenu dans ta prochaine réponse.

* Si le pc a redémarré, le rapport peut être trouvé à la racine de ton lecteur (en général C:\) sous la forme
"TDSSKiller.[Version]_[Date]_[Time]_log.txt". Copie/colle le contenu de ton rapport



@+ VIRUS/C/C

Bonjour voici le rapport demandé:

2011/04/08 05:49:15.0125 2780 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/04/08 05:49:15.0421 2780 ================================================================================
2011/04/08 05:49:15.0421 2780 SystemInfo:
2011/04/08 05:49:15.0421 2780
2011/04/08 05:49:15.0421 2780 OS Version: 5.1.2600 ServicePack: 3.0
2011/04/08 05:49:15.0421 2780 Product type: Workstation
2011/04/08 05:49:15.0421 2780 ComputerName: LA_KANADA
2011/04/08 05:49:15.0421 2780 UserName: Tous le minde
2011/04/08 05:49:15.0421 2780 Windows directory: C:\WINDOWS
2011/04/08 05:49:15.0421 2780 System windows directory: C:\WINDOWS
2011/04/08 05:49:15.0421 2780 Processor architecture: Intel x86
2011/04/08 05:49:15.0421 2780 Number of processors: 1
2011/04/08 05:49:15.0421 2780 Page size: 0x1000
2011/04/08 05:49:15.0421 2780 Boot type: Normal boot
2011/04/08 05:49:15.0421 2780 ================================================================================
2011/04/08 05:49:15.0875 2780 Initialize success
2011/04/08 05:49:20.0765 3644 ================================================================================
2011/04/08 05:49:20.0765 3644 Scan started
2011/04/08 05:49:20.0765 3644 Mode: Manual;
2011/04/08 05:49:20.0765 3644 ================================================================================
2011/04/08 05:49:24.0375 3644 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/04/08 05:49:24.0500 3644 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/04/08 05:49:24.0734 3644 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/04/08 05:49:24.0890 3644 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/04/08 05:49:25.0031 3644 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/04/08 05:49:25.0875 3644 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/04/08 05:49:26.0015 3644 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/04/08 05:49:26.0250 3644 ati2mtaa (a2f791e99fd6eecebccfb1953a1d6f24) C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys
2011/04/08 05:49:26.0437 3644 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/04/08 05:49:26.0578 3644 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/04/08 05:49:26.0750 3644 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
2011/04/08 05:49:26.0921 3644 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/04/08 05:49:27.0062 3644 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/04/08 05:49:27.0218 3644 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/04/08 05:49:27.0375 3644 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/04/08 05:49:27.0531 3644 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/04/08 05:49:27.0734 3644 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/04/08 05:49:27.0875 3644 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/04/08 05:49:28.0046 3644 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/04/08 05:49:28.0484 3644 ctljystk (71007bd2e1e26927fe3e4eb00c0beedf) C:\WINDOWS\system32\DRIVERS\ctljystk.sys
2011/04/08 05:49:28.0859 3644 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/04/08 05:49:29.0015 3644 DM9102 (51ef6ca3d57055fed6ab99021d562443) C:\WINDOWS\system32\DRIVERS\DM9PCI5.SYS
2011/04/08 05:49:29.0203 3644 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/04/08 05:49:29.0375 3644 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/04/08 05:49:29.0531 3644 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/04/08 05:49:29.0687 3644 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/04/08 05:49:29.0968 3644 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/04/08 05:49:30.0171 3644 emu10k (01f83e1b5dce05f5cb7d99113ca9e890) C:\WINDOWS\system32\drivers\emu10k1m.sys
2011/04/08 05:49:30.0296 3644 emu10k1 (7ffa171cce6a8bfc774862a578ba39a2) C:\WINDOWS\system32\drivers\ctlfacem.sys
2011/04/08 05:49:30.0468 3644 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/04/08 05:49:30.0609 3644 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/04/08 05:49:30.0734 3644 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/04/08 05:49:30.0859 3644 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/04/08 05:49:31.0031 3644 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/04/08 05:49:31.0156 3644 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/04/08 05:49:31.0265 3644 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/04/08 05:49:31.0390 3644 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/04/08 05:49:31.0531 3644 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/04/08 05:49:31.0687 3644 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/04/08 05:49:31.0890 3644 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/04/08 05:49:32.0125 3644 HPZid412 (30ca91e657cede2f95359d6ef186f650) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
2011/04/08 05:49:32.0265 3644 HPZipr12 (efd31afa752aa7c7bbb57bcbe2b01c78) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
2011/04/08 05:49:32.0390 3644 HPZius12 (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
2011/04/08 05:49:32.0546 3644 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/04/08 05:49:32.0875 3644 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/04/08 05:49:33.0046 3644 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/04/08 05:49:33.0328 3644 IntelIde (4b6da2f0a4095857a9e3f3697399d575) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/04/08 05:49:33.0500 3644 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/04/08 05:49:33.0687 3644 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/04/08 05:49:33.0843 3644 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/04/08 05:49:34.0000 3644 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/04/08 05:49:34.0140 3644 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/04/08 05:49:34.0250 3644 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/04/08 05:49:34.0421 3644 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/04/08 05:49:34.0562 3644 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/04/08 05:49:34.0687 3644 kbdhid (94c59cb884ba010c063687c3a50dce8e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/04/08 05:49:34.0828 3644 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/04/08 05:49:34.0984 3644 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/04/08 05:49:35.0281 3644 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/04/08 05:49:35.0468 3644 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/04/08 05:49:35.0609 3644 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/04/08 05:49:35.0734 3644 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/04/08 05:49:35.0875 3644 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/04/08 05:49:36.0093 3644 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/04/08 05:49:36.0296 3644 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/04/08 05:49:36.0500 3644 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/04/08 05:49:36.0640 3644 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/04/08 05:49:36.0781 3644 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/04/08 05:49:36.0953 3644 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/04/08 05:49:37.0109 3644 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/04/08 05:49:37.0250 3644 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/04/08 05:49:37.0390 3644 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/04/08 05:49:37.0562 3644 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/04/08 05:49:37.0703 3644 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/04/08 05:49:37.0843 3644 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/04/08 05:49:38.0000 3644 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/04/08 05:49:38.0140 3644 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/04/08 05:49:38.0281 3644 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/04/08 05:49:38.0421 3644 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/04/08 05:49:38.0609 3644 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/04/08 05:49:38.0734 3644 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/04/08 05:49:38.0953 3644 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/04/08 05:49:39.0140 3644 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/04/08 05:49:39.0375 3644 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/04/08 05:49:39.0468 3644 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/04/08 05:49:39.0609 3644 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/04/08 05:49:39.0750 3644 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/04/08 05:49:39.0828 3644 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/04/08 05:49:39.0953 3644 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/04/08 05:49:40.0125 3644 pavboot (3adb8bd6154a3ef87496e8fce9c22493) C:\WINDOWS\system32\drivers\pavboot.sys
2011/04/08 05:49:40.0265 3644 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/04/08 05:49:40.0578 3644 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/04/08 05:49:41.0500 3644 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/04/08 05:49:41.0656 3644 Processor (e19c9632ac828f6f214391e2bdda11cb) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/04/08 05:49:41.0828 3644 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/04/08 05:49:41.0968 3644 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/04/08 05:49:42.0093 3644 QCDonner (fddd1aeb9f81ef1e6e48ae1edc2a97d6) C:\WINDOWS\system32\DRIVERS\OVCD.sys
2011/04/08 05:49:42.0578 3644 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/04/08 05:49:42.0718 3644 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/04/08 05:49:42.0890 3644 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/04/08 05:49:43.0015 3644 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/04/08 05:49:43.0140 3644 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/04/08 05:49:43.0296 3644 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/04/08 05:49:43.0453 3644 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/04/08 05:49:43.0609 3644 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/04/08 05:49:43.0875 3644 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/04/08 05:49:44.0062 3644 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/04/08 05:49:44.0187 3644 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/04/08 05:49:44.0343 3644 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/04/08 05:49:44.0500 3644 sfman (0b1a5e9cacb5cdd54a2815107bd7c772) C:\WINDOWS\system32\drivers\sfmanm.sys
2011/04/08 05:49:44.0734 3644 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/04/08 05:49:44.0968 3644 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/04/08 05:49:45.0156 3644 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/04/08 05:49:45.0343 3644 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/04/08 05:49:45.0531 3644 ssmdrv (d2b65746bc6631e6c69092454feaec54) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/04/08 05:49:45.0546 3644 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ssmdrv.sys. Real md5: d2b65746bc6631e6c69092454feaec54, Fake md5: a36ee93698802cd899f98bfd553d8185
2011/04/08 05:49:45.0578 3644 ssmdrv - detected Rootkit.Win32.TDSS.tdl3 (0)
2011/04/08 05:49:45.0703 3644 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/04/08 05:49:45.0843 3644 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/04/08 05:49:45.0984 3644 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/04/08 05:49:46.0468 3644 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/04/08 05:49:46.0656 3644 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/04/08 05:49:46.0828 3644 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/04/08 05:49:46.0968 3644 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/04/08 05:49:47.0125 3644 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/04/08 05:49:47.0406 3644 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/04/08 05:49:47.0671 3644 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/04/08 05:49:47.0875 3644 USBAAPL (4b8a9c16b6d9258ed99c512aecb8c555) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/04/08 05:49:48.0015 3644 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/04/08 05:49:48.0343 3644 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/04/08 05:49:48.0640 3644 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/04/08 05:49:48.0968 3644 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/04/08 05:49:49.0281 3644 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/04/08 05:49:49.0593 3644 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/04/08 05:49:49.0875 3644 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/04/08 05:49:50.0406 3644 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/04/08 05:49:50.0765 3644 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/04/08 05:49:51.0218 3644 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/04/08 05:49:51.0656 3644 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/04/08 05:49:53.0140 3644 ================================================================================
2011/04/08 05:49:53.0140 3644 Scan finished
2011/04/08 05:49:53.0140 3644 ================================================================================
2011/04/08 05:49:53.0203 4068 Detected object count: 1
2011/04/08 05:49:55.0953 4068 ssmdrv (d2b65746bc6631e6c69092454feaec54) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/04/08 05:49:55.0953 4068 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ssmdrv.sys. Real md5: d2b65746bc6631e6c69092454feaec54, Fake md5: a36ee93698802cd899f98bfd553d8185
2011/04/08 05:49:56.0812 4068 Backup copy found, using it..
2011/04/08 05:49:57.0562 4068 C:\WINDOWS\system32\DRIVERS\ssmdrv.sys - will be cured after reboot
2011/04/08 05:49:57.0562 4068 Rootkit.Win32.TDSS.tdl3(ssmdrv) - User select action: Cure
2011/04/08 05:50:13.0250 2712 Deinitialize success