Spywarefri Forum | Worm.Win32.Netsky

1 af 5

Worm.Win32.Netsky

[ Ignorer ] Jesper Rasmussen
08.09.2010 09:15:15 Antal indlæg: 44	Hej, Efter opstart af Windows Vista lægges en sort ramme over skrivebordet med en advarsel om infektion og anbefaling om at køre et antispywareprogram: “Your system is infected!, etc.” Der kommer også et vindue med en Windows Security Alert, der præciserer, at Worm.Win32.Netsky er fundet på computeren. Lukkes dette vindue, startes Antivirus2010 i en trial version. Jeg har forsøgt med en system restore, men den kan ikke gennemføres. Dernæst har jeg forsøgt med 2 rensninger med Smitfraudfix, ligeledes uden held. Jeg kan ikke åbne linket til Cclenaer fra jeres side, men får en 404-fejl. Jeg har Bitdefender installeret, men får ofte fejlmeddelelser. Tak for hjælpen Jesper Rasmussen
[ Ignorer ] [ # 1 ] Magic Emeritus
08.09.2010 09:20:18 Administrator Supporter Emeritus Antal indlæg: 29174	Hej Hent og kør Rkill fra et af nedenstånde links. Rkill.exe - http://download.bleepingcomputer.com/grinler/rkill.exe Rkill.com - http://download.bleepingcomputer.com/grinler/rkill.com Rkill.scr - http://download.bleepingcomputer.com/grinler/rkill.scr Rkill.pif - http://download.bleepingcomputer.com/grinler/rkill.pif Computeren må IKKE genstartes efter at have kørt rkill da malware-programmer vil starte igen. Send rkill loggen herind.
[ Ignorer ] [ # 2 ] Jesper Rasmussen
08.09.2010 19:51:24 Antal indlæg: 44	Hej, Tak for hjælpen. Jeg har hentet rkill fra to adresser (exe og com, pif virkede ikke). Når jeg forsøger at køre rkill åbnes et vindue, som lynhurtigt lukkes igen. Det kommer der jo desværre ikke nogen rapport ud af. Mvh. Jesper Rasmussen
[ Ignorer ] [ # 3 ] Peder TeamSpywarefri
09.09.2010 11:31:22 Redaktør Team Spywarefri Antal indlæg: 12994	1. Dette skal udføres fra en PC der ikke er infekceret. Download de 3 programmer her, gem dem på din USB stick. http://oldtimer.geekstogo.com/OTH.scr http://oldtimer.geekstogo.com/OTS.exe http://support.kaspersky.com/downloads/utils/tdsskiller.zip 2. Monter din USB stick i den syge pc Kopier filen OTH.scr ind på skrivebordet på den syge pc Genstart nu den pc, lige så snart du kan se skrivebordet så dobbeltklik hurtig på filen OTH.scr – klik hurtig på Kill All Processes Dit skrivebord vil nu blive blank, det er normalt. Klik på Start Misc Program – der åbner nu et browser vindue, klik dig frem til hvor du gemte OTS, ret ”Filtype” til ”Alle filer”, find og kør OTS.exe. Dobbeltklik på OTS.EXE > Under Additional Scans sæt flueben ved ”File-Lop Check” og ”File-Purity Scan” > Klik så på ”Run Scan” Der vil nu åbne en tekst fil, gem den som OTS.Txt et sted hvor du kan finde den igen. Den fil skal du lægge herind som en vedhæftet fil, det gør du sådan > Gå ind i din tråd, klik på ”Skriv Svar” > Klik på ”Vedhæft filer til dette indlæg” > Gennemse > Find filen og klik på den for at vedhæfte > klik ”Send indlæg”. 3. Pak den zipfil tdsskiller.zip ud – gem den på skrivebordet, du har nu filen TDSSKILLER.exe på skrivebordet. Genstart nu den pc, lige så snart du kan se skrivebordet så dobbeltklik hurtig på filen OTH.scr – klik hurtig på Kill All Processes Dit skrivebord vil nu blive blank, det er normalt. Klik på Start Misc Program – der åbner nu et browser vindue, klik dig frem til skrivebordet hvor du gemte TDSSKILLER.exe – dobbeltklik på TDSSKILLER.exe – klik på ”Start Scan” > Når den har scannet så klikker du på ”Report” når du får den mulighed, det åbner en log, gå ud i ”Filer” > Gem som > Gem den et sted hvor du kan finde den > Kopier teksten fra den log herind sammen med de andre logfiler. Hvis den skriver du skal genstarte så gør det. PS: Print dette ud så du har det ved hånden.
[ Ignorer ] [ # 4 ] Jesper Rasmussen
09.09.2010 12:12:50 Antal indlæg: 44	Hej igen, Her kommer de to filer. Jeg kunne ikke genstarte computeren efter punkt 2 (save as vinduet forblev åbent, men kunne ikke aktiveres) og måtte lukke computeren med afbryderknappen. Ellers forløb det uden problemer. Tak igen Jesper Rasmussen Vedhæftede filer OTS.txt (Filstørrelse: 146 - Downloads: 131) TDSSKiller.2.4.2.1_09.09.2010_12.07.35_log.txt (Filstørrelse: 3 - Downloads: 110)
[ Ignorer ] [ # 5 ] Peder TeamSpywarefri
09.09.2010 14:57:00 Redaktør Team Spywarefri Antal indlæg: 12994	—Hent Combofix, og gem den på din USB pen som alg.exe Det er vigtigt at du gemmer den under dette navn. http://download.bleepingcomputer.com/sUBs/ComboFix.exe Åbn OTS > Kopier teksten med fed skrift ind under ”Paste Fix Here” > Klik på Run Fix > Lad din pc køre det ”Fix”, sig ja til at genstarte, efter genstart vil der åbnes en logfil, kopier indholdet herind. Logfilen ligger også her > c:\_ots\MovesFiles\ mange tal.log [Kill All Processes] [Unregister Dlls] [Win32 Services - Safe List] YN -> (userinit) Antivirus 2010 [Auto \| Stopped] -> \\.\globalroot\systemroot\system32\usеrinit.exe [WARNING: \\.\globalroot\systemroot\system32\us?rinit.exe] [Registry - Safe List] < HOSTS File > ([2010/09/08 08:57:38 \| 000,002,013 \|——\| M] - 277 lines) -> C:\Windows\System32\drivers\etc\hosts YN -> 212.95.49.48 http://www.google.com -> YN -> 212.95.49.48 us.search.yahoo.com -> YN -> 212.95.49.48 uk.search.yahoo.com -> YN -> 212.95.49.48 search.yahoo.com -> YN -> 212.95.49.48 http://www.google.com.br -> YN -> 212.95.49.48 http://www.google.it -> YN -> 212.95.49.48 http://www.google.es -> YN -> 212.95.49.48 http://www.google.co.jp -> YN -> 212.95.49.48 http://www.google.com.mx -> YN -> 212.95.49.48 http://www.google.ca -> YN -> 212.95.49.48 http://www.google.com.au -> YN -> 212.95.49.48 http://www.google.nl -> YN -> 212.95.49.48 http://www.google.co.za -> YN -> 212.95.49.48 http://www.google.be -> YN -> 212.95.49.48 http://www.google.gr -> YN -> 212.95.49.48 http://www.google.at -> YN -> 212.95.49.48 http://www.google.se -> YN -> 212.95.49.48 http://www.google.ch -> YN -> 212.95.49.48 http://www.google.pt -> YN -> 212.95.49.48 http://www.google.dk -> YN -> 212.95.49.48 http://www.google.fi -> YN -> 212.95.49.48 http://www.google.ie -> < BHO’s [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ NY -> {201f27d4-3704-41d6-89c1-aa35e39143ed} [HKLM] -> C:\Program Files\AskBarDis\bar\bin\askBar.dll [AskBar BHO] < Internet Explorer ToolBars [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar NY -> “{3041d03e-fd4b-44e0-b742-2d9b88305f98}” [HKLM] -> C:\Program Files\AskBarDis\bar\bin\askBar.dll [Foxit Toolbar] [Files/Folders - Created Within 30 Days] NY -> VCCLSID.exe -> C:\Windows\System32\VCCLSID.exe NY -> SrchSTS.exe -> C:\Windows\System32\SrchSTS.exe NY -> swreg.exe -> C:\Windows\System32\swreg.exe NY -> VACFix.exe -> C:\Windows\System32\VACFix.exe NY -> IEDFix.exe -> C:\Windows\System32\IEDFix.exe NY -> IEDFix.C.exe -> C:\Windows\System32\IEDFix.C.exe NY -> 404Fix.exe -> C:\Windows\System32\404Fix.exe NY -> o4Patch.exe -> C:\Windows\System32\o4Patch.exe NY -> swxcacls.exe -> C:\Windows\System32\swxcacls.exe NY -> Agent.OMZ.Fix.exe -> C:\Windows\System32\Agent.OMZ.Fix.exe NY -> Process.exe -> C:\Windows\System32\Process.exe NY -> SmitfraudFix -> C:\Users\Nathalie\Desktop\SmitfraudFix [Files/Folders - Modified Within 30 Days] NY -> .wtav -> C:\ProgramData\.wtav NY -> SmitfraudFix.exe -> C:\Users\Nathalie\Desktop\SmitfraudFix.exe NY -> NATbudget.xlsx -> C:\Users\Nathalie\Desktop\NATbudget.xlsx NY -> GDIPFONTCACHEV1.DAT -> C:\Users\Nathalie\AppData\Local\GDIPFONTCACHEV1.DAT [Files - No Company Name] NY -> msennoij.dll -> C:\Windows\System32\msennoij.dll [Files/Folders - Unicode - All] NY -> C:\Windows\System32\us?rinit.exe -> C:\Windows\System32\usеrinit.exe [Empty Temp Folders] [Start Explorer] [Reboot] Hent Malwarebytes Anti-Malware herfra: http://www.besttechie.net/tools/mbam-setup.exe Eller herfra -> http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til “Kør et fuldstændigt systemscan” - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren). Derefter - Tryk på “Vis resultater” knappen efter scanningen - og herefter tryk på “Fjern det valgte” - nu åbnes log’en og du skal gemme den et sted, hvor du kan finde den igen. Kopier indholdet herind i denne tråd. Vigtigt: Du skal, inden du klikker på ”Skan” knappen i Malwarebytes Anti-Malware gå op i fanen ”Opdater”, klik på ”Tjek for opdatering”, bliv ved til den skriver du har nyeste database, (DET SKAL UDFØRES). Når den så har genstartet, prøv så om du kan køre Combofix (alg.exe) fra din USB pen? Kør Combofix.exe (alg.exe) (Vistabrugere skal klikke med højre-musetast på filen og vælge (Kør som administrator) Vigtigt-> Deaktiver dit antivirus/antispyware program. Hvis du ikke kan deaktiver programmet, så klik bare ”Forsæt og ok” når Combofix advarer, så vil den forsætte. Du må ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse. Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C:\ Combofix txt Hvis logfilen ikke åbnes så finder du den her c:\combofix.txt Indholdet af denne fil må du gerne lægge herind. Vær tålmodig og vent til Combofix ruden lukker ned.
[ Ignorer ] [ # 6 ] Jesper Rasmussen
09.09.2010 23:18:09 Antal indlæg: 44	Hej, Jeg har nu udført de forskellige scan med nogle afvigelser fra det beskrevne. ad 1) Jeg fik følgende fejlmeddelelser: Under scan OTS: OTS.exe – Bad Image C:\Windows\System32\msemmoij.dll is either not designed to run on Windows or it contains an error. Try installing the program again using the original installation media or contact your system administrator or software vendor for support. Under genstart Error Error creating Log file! Notepad The system cannot find the path specified Derefter kørte jeg patch’et igen og fik log’en. ad 2) Som beskrevet ad 3) Har nu kørt i 7 timer. Skærmen er ikke frosset, men den blinkende cursor har ikke bevæget sig siden start på scan. Jeg lader det stå til i morgen tidlig, men går ud fra, at der er noget i vejen. Log er vedhæftet for 2). Jeg får en fejlbesked, når jeg forsøger at vedhæfte log for 1 (format ikke tilladt), så den kommer her: All Processes Killed [Win32 Services - Safe List] Service userinit stopped successfully! [Registry - Safe List] Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ not found. File C:\Program Files\AskBarDis\bar\bin\askBar.dll not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar\\“{3041d03e-fd4b-44e0-b742-2d9b88305f98}” not found. File C:\Program Files\AskBarDis\bar\bin\askBar.dll not found. [Files/Folders - Created Within 30 Days] File C:\Windows\System32\VCCLSID.exe not found! File C:\Windows\System32\SrchSTS.exe not found! File C:\Windows\System32\swreg.exe not found! File C:\Windows\System32\VACFix.exe not found! File C:\Windows\System32\IEDFix.exe not found! File C:\Windows\System32\IEDFix.C.exe not found! File C:\Windows\System32\404Fix.exe not found! File C:\Windows\System32\o4Patch.exe not found! File C:\Windows\System32\swxcacls.exe not found! File C:\Windows\System32\Agent.OMZ.Fix.exe not found! File C:\Windows\System32\Process.exe not found! File C:\Users\Nathalie\Desktop\SmitfraudFix not found! [Files/Folders - Modified Within 30 Days] File C:\ProgramData\.wtav not found! File C:\Users\Nathalie\Desktop\SmitfraudFix.exe not found! File C:\Users\Nathalie\Desktop\NATbudget.xlsx not found! C:\Users\Nathalie\AppData\Local\GDIPFONTCACHEV1.DAT moved successfully. [Files - No Company Name] File C:\Windows\System32\msennoij.dll not found! [Files/Folders - Unicode - All] File C:\Windows\System32\usеrinit.exe not found! [Empty Temp Folders] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Nathalie ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 36795 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Google Chrome cache emptied: 6389530 bytes ->Apple Safari cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 6,00 mb < End of fix log > OTS by OldTimer - Version 3.1.36.0 fix logfile created on 09092010_154427 Files\Folders moved on Reboot… Registry entries deleted on Reboot… Tak igen Jesper Vedhæftede filer mbam-log-2010-09-09 (17-33-18).txt (Filstørrelse: 2 - Downloads: 99)
[ Ignorer ] [ # 7 ] Jesper Rasmussen
10.09.2010 07:48:47 Antal indlæg: 44	Hej, Der er ingen udvikling i combofix, som nu har kørt i 15 timer. Jesper Rasmussen
[ Ignorer ] [ # 8 ] Peder TeamSpywarefri
10.09.2010 10:05:14 Redaktør Team Spywarefri Antal indlæg: 12994	Prøv og genstart for at lukke Combofix ned. Skriv/kopier dette ind i kør > C:\Windows\System32\drivers\etc\hosts Åbn filen med Notesblok hvis den spørger, slet alt der står I filen og kopier dette ind > 127.0.0.1 localhost loopback ::1 localhost Gå ud I “Filer” > Gem Hvis du ikke kan få lov til at ændre filen, så find og højreklik på filen ”hosts” > Egenskaber > Fjern flueben ved ”Skrivebeskyttet” > Anvend > OK > Nu kan du ændre filen. Når du starter disse programmer skal du klikke med højre MuseTast på program filen, vælg ”Kør som administrator” hvis du har den mulighed. Klik her: http://www.gmer.net/download.php og download installationsprogrammet for Gmer til skrivebordet, og klik derefter på filen for at køre Gmer. Hvis den i indledende scanning lokaliserer poster vist i rødt eller angiver “skjult” eller “rootkit”, stop der, og klik på Kopiér knappen, og højreklik på skrivebordet, vælg “Ny”> Tekst dokument. Når filen er oprettet, skal du åbne den og højreklik igen og vælge Sæt ind. Kopier indholdet og post det her, tak. Hvis ikke, så fjern de flueben ved disse > IAT/EAT Show all Alle drev end C drevet. Klik på Scan, før scanning, skal du sørge for alle andre programmer er lukket, og ingen andre aktioner såsom en planlagt antivirus scanning vil ske samtidig med denne scanning. Brug heller ikke computeren under scanningen. Når scanningen er færdig, klik på Kopier knappen, og højreklik på skrivebordet, vælg “Ny”> Tekst dokument. Når filen er oprettet, skal du åbne den og højreklik igen og vælge Sæt ind. Kopier oplysninger og post det her tak. Post den som en vedhæftet fil. Prøv også at kør TDSSKiller.exe igen, du kører den bare direkte fra skrivebordet uden du kører OTH.scr. Kopier den logfil herind. 1. Download MBRCheck.exe til dit Skrivebord: http://ad13.geekstogo.com/MBRCheck.exe Dobbeltklik på MBRCheck.exe for at køre programmet.. 2. MBRCheck vil nu køre > Hvis du du ser denne linje: Enter ‘Y’ and hit ENTER for more options, or ‘N’ to exit: Skriv N og tast Enter. Der ligger nu en log på dit Skrivebord (MBRCheck_dato_tid.txt) som du skal kopiere ind i dit næste indlæg. PS: Husk at deaktiver dine sikkerhedsprogrammer inden du kører disse programmer, og kør som ”Administrator”.
[ Ignorer ] [ # 9 ] Jesper Rasmussen
10.09.2010 22:01:27 Antal indlæg: 44	Hej, Jeg nåede ikke så langt. Ved ændring af hosts fik jeg fejlmeddelelsen: Cannot create C:\Windows\System32\drivers\etc\hosts Derefter åbnes Save As vindue. Ved tryk på save uden ændringer (navnet hosts), spørges jeg, om jeg vil erstatte den eksisterende fil. Jeg accepterer, men får samme fejlmelding som ovenfor. Jeg har fundet den gemte fil hosts og afmarkeret “Read-only”. Jeg skal huske at sige, at jeg ikke længere får virusmeddelelsen ved opstart, men skrivebordets baggrund er nu blåt. Tak endnu en gang Jesper Rasmussen
[ Ignorer ] [ # 10 ] Peder TeamSpywarefri
11.09.2010 10:06:53 Redaktør Team Spywarefri Antal indlæg: 12994	Afbryd din net forbindelse medens du udfører dette. Deaktiver UAC Start > Kontrolpanel > Klik på ”Klassisk visning” under ”Startside” øverst til venstre på siden > brugerkonti > Slå brugerkontostyring fra eller til > Forsæt ved ”Windows skal bruge din tilladelse til at fortsætte” > Fjern flueben ved ”Brug brugerkontokontrol..” > OK > genstart. Husk at aktivere den igen når vi er færdig med at arbejde med Computeren. Åbn OTS > Kopier teksten med fed skrift ind under ”Paste Fix Here” > Klik på Run Fix > Lad din pc køre det ”Fix”, sig ja til at genstarte, efter genstart vil der åbnes en logfil, kopier indholdet herind. Logfilen ligger også her > c:\_ots\MovesFiles\ mange tal.log [Kill All Processes] [Unregister Dlls] [Registry - Safe List] < HOSTS File > ([2010/09/08 08:57:38 \| 000,002,013 \|——\| M] - 277 lines) -> C:\Windows\System32\drivers\etc\hosts YN -> Reset Hosts -> [Empty Temp Folders] [Start Explorer] [Reboot] Prøv så om du kan køre Combofix fra “Fejlsikret tilstand”, kopier så den logfil herind, ikke som vedhæftet fil.
[ Ignorer ] [ # 11 ] Jesper Rasmussen
11.09.2010 16:35:38 Antal indlæg: 44	Denne gang gik det næsten smertefrit. Både OTS of combofix (alg.exe) blev kørt fra skrivebordet: Logfilen for OTS: All Processes Killed [Registry - Safe List] HOSTS file reset successfully! [Empty Temp Folders] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Nathalie ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 1269129 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 17035538 bytes ->Google Chrome cache emptied: 5050736 bytes ->Apple Safari cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 22,00 mb < End of fix log > OTS by OldTimer - Version 3.1.36.0 fix logfile created on 09112010_151511 Files\Folders moved on Reboot… Registry entries deleted on Reboot… Combofix skrev først “Cannot find text for message number 0x8 in the message file f ...[tekst gik ud over rammen, og jeg kunne ikke udvide den] or System”. Derefter fandt combix rootkit, og jeg genstartede. Logfilen for combofix: ComboFix 10-09-08.03 - Nathalie 11/09/2010 15:28:09.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.33.1033.18.3581.2376 [GMT 2:00] Lancé depuis: c:\users\Nathalie\Desktop\alg.exe.exe FW: Trend Micro Personal Firewall enabled {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6} SP: Windows Defender enabled (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\users\Nathalie\GoToAssistDownloadHelper.exe c:\windows\system32\AutoRun.inf c:\windows\system32\dumphive.exe c:\windows\system32\tmp.reg c:\windows\system32\WS2Fix.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 )))))))))))))))))))))))))))))))))))) . 2010-09-11 13:41 . 2010-09-11 13:41 ———— d——-w- c:\users\Nathalie\AppData\Local\temp 2010-09-11 13:41 . 2010-09-11 13:41 ———— d——-w- c:\users\Default\AppData\Local\temp 2010-09-11 13:18 . 2010-09-11 13:18 56 —-ha-w- c:\windows\system32\ezsidmv.dat 2010-09-11 13:15 . 2010-09-11 13:15 ———— d——-w- C:\_OTS 2010-09-09 13:51 . 2010-09-09 13:51 ———— d——-w- c:\users\Nathalie\AppData\Roaming\Malwarebytes 2010-09-09 13:50 . 2010-04-29 13:39 38224 ——a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-09 13:50 . 2010-09-09 13:50 ———— d——-w- c:\program files\Malwarebytes’ Anti-Malware 2010-09-09 13:50 . 2010-09-09 13:50 ———— d——-w- c:\programdata\Malwarebytes 2010-09-09 13:50 . 2010-04-29 13:39 20952 ——a-w- c:\windows\system32\drivers\mbam.sys 2010-09-09 13:46 . 2010-09-09 13:46 109344 ——a-w- c:\users\Nathalie\AppData\Local\GDIPFONTCACHEV1.DAT 2010-09-09 08:24 . 2010-09-09 08:24 10134 ——a-r- c:\users\Nathalie\AppData\Roaming\Microsoft\Installer\{5C6C0192-BA75-4932-8931-B2FF88346E49}\_28d27794.exe 2010-09-09 08:24 . 2010-09-09 08:24 10134 ——a-r- c:\users\Nathalie\AppData\Roaming\Microsoft\Installer\{5C6C0192-BA75-4932-8931-B2FF88346E49}\_16dd6dc4.exe 2010-09-09 08:24 . 2010-09-09 08:24 ———— d——-w- c:\program files\Stay On Top 2010-09-08 06:46 . 2010-09-08 06:57 35 ——a-w- c:\users\Nathalie\AppData\Roaming\SetValue.bat 2010-09-04 16:17 . 2010-01-22 11:11 62800 ——a-w- c:\users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\zxi4vbkv.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll 2010-09-01 02:37 . 2010-08-17 18:10 372736 ———w- c:\programdata\Dell\DSL\DSLCheck.exe 2010-08-30 19:59 . 2009-07-14 17:45 445008 ——a-w- c:\windows\system32\drivers\Wdf01000.sys 2010-08-30 19:59 . 2009-07-14 17:45 38480 ——a-w- c:\windows\system32\drivers\WdfLdr.sys 2010-08-30 19:56 . 2010-08-30 19:56 ———— d——-w- c:\program files\DIFX 2010-08-30 19:55 . 2010-08-30 19:55 ———— d——-w- c:\program files\Common Files\Livescribe 2010-08-30 19:55 . 2010-08-30 19:55 ———— d——-w- c:\users\Nathalie\AppData\Local\Livescribe 2010-08-30 19:54 . 2010-08-30 19:54 ———— d——-w- c:\program files\Livescribe 2010-08-30 19:52 . 2010-08-30 19:57 ———— d——-w- c:\users\Nathalie\AppData\Roaming\Downloaded Installations . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-11 13:27 . 2008-06-22 11:56 238432 ——a-w- c:\programdata\nvModes.dat 2010-09-11 13:19 . 2008-05-17 04:27 12 ——a-w- c:\windows\bthservsdp.dat 2010-09-11 13:19 . 2008-06-30 18:09 ———— d——-w- c:\users\Nathalie\AppData\Roaming\Skype 2010-09-11 13:09 . 2008-06-30 18:10 ———— d——-w- c:\users\Nathalie\AppData\Roaming\skypePM 2010-09-08 06:57 . 2010-09-08 06:46 691 ——a-w- c:\users\Nathalie\AppData\Roaming\GetValue.vbs 2010-09-04 06:52 . 2008-06-25 04:06 ———— d——-w- c:\program files\Microsoft Silverlight 2010-09-03 20:50 . 2008-05-17 04:55 ———— d——-w- c:\programdata\Dell 2010-08-30 19:59 . 2010-08-30 19:59 0 —-ha-w- c:\windows\system32\drivers\Msft_Kernel_PulseUsb_01009.Wdf 2010-08-30 19:59 . 2010-08-30 19:59 0 —-ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf 2010-08-11 21:26 . 2008-05-17 04:55 ———— d——-w- c:\program files\Microsoft Works 2010-08-11 21:24 . 2008-08-16 20:54 ———— d——-w- c:\programdata\Microsoft Help 2010-08-11 21:21 . 2006-11-02 11:18 ———— d——-w- c:\program files\Windows Mail 2010-08-06 16:53 . 2010-08-06 16:52 ———— d——-w- c:\program files\iTunes 2010-08-06 16:52 . 2010-08-06 16:52 ———— d——-w- c:\program files\iPod 2010-08-06 16:52 . 2008-07-01 13:29 ———— d——-w- c:\program files\Common Files\Apple 2010-08-06 16:47 . 2010-08-06 16:47 73000 ——a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe 2010-08-06 16:46 . 2008-08-03 17:21 ———— d——-w- c:\program files\Safari 2010-08-06 16:45 . 2010-08-06 16:45 72488 ——a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.17.8\SetupAdmin.exe 2010-07-28 11:32 . 2010-07-28 11:32 1461992 ——a-w- c:\windows\system32\WdfCoInstaller01009.dll 2010-07-28 11:32 . 2010-07-28 11:32 20480 ——a-w- c:\windows\system32\drivers\PulseUsb.sys 2010-07-11 21:06 . 2010-07-11 21:06 354744 ——a-w- c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaUpdaterInstall.exe 2010-07-11 21:06 . 2010-07-11 21:06 79872 ——a-w- c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe 2010-07-11 21:06 . 2010-07-11 21:06 574344 ——a-w- c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaUpdater.exe 2010-07-11 19:15 . 2010-07-11 19:15 71992 ——a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe 2010-06-26 06:05 . 2010-08-11 17:40 916480 ——a-w- c:\windows\system32\wininet.dll 2010-06-26 06:02 . 2010-08-11 17:40 71680 ——a-w- c:\windows\system32\iesetup.dll 2010-06-26 06:02 . 2010-08-11 17:40 109056 ——a-w- c:\windows\system32\iesysprep.dll 2010-06-26 04:25 . 2010-08-11 17:40 133632 ——a-w- c:\windows\system32\ieUnatt.exe 2010-06-21 13:37 . 2010-08-11 17:39 2037760 ——a-w- c:\windows\system32\win32k.sys 2010-06-19 16:35 . 2008-07-02 09:53 7808 ——a-w- c:\users\Nathalie\AppData\Local\d3d9caps.dat 2010-06-18 17:31 . 2010-08-11 17:38 36864 ——a-w- c:\windows\system32\rtutils.dll 2010-06-18 15:04 . 2010-08-11 17:36 302080 ——a-w- c:\windows\system32\drivers\srv.sys 2010-06-18 15:04 . 2010-08-11 17:36 144896 ——a-w- c:\windows\system32\drivers\srv2.sys 2010-06-16 16:04 . 2010-08-11 17:36 905088 ——a-w- c:\windows\system32\drivers\tcpip.sys 2010-06-24 16:26 . 2009-10-20 20:18 119808 ——a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll 2008-05-17 04:44 . 2008-05-17 04:44 74 —sh—r- c:\windows\CT4CET.bin 2008-05-17 12:15 . 2008-05-17 12:06 8192 —sha-w- c:\windows\Users\Default\NTUSER.DAT . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . Note les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] “{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}”= “c:\program files\Winamp Toolbar\winamptb.dll” [2009-05-06 1262888] [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay] @=”{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}” [HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}] 2007-04-17 04:13 721408 ——a-w- c:\program files\Fingerprint Reader Suite\farchns.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen] @=”{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}” [HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}] 2007-04-17 04:13 721408 ——a-w- c:\program files\Fingerprint Reader Suite\farchns.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “DellSupport”=“c:\program files\DellSupport\DSAgnt.exe” [2007-03-15 460784] “swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2008-05-17 68856] “LaCie Backup”=“c:\program files\LaCie\Backup Software\\LaCieBackup.exe” [2007-12-03 2600960] “ISUSPM Startup”=“c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe” [2004-06-14 221184] “ISUSScheduler”=“c:\program files\Common Files\InstallShield\UpdateService\issch.exe” [2006-09-11 86960] “DellSupportCenter”=“c:\program files\Dell Support Center\bin\sprtcmd.exe” [2009-05-21 206064] “L08AXLRD_3904876”=“c:\program files\Microsoft Student\Microsoft Student with Encarta Premium 2008 DVD\EDICT.EXE” [2007-05-21 351000] “LDM”=“c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe” [2008-07-02 32768] “Picasa Media Detector”=“c:\program files\Picasa2\PicasaMediaDetector.exe” [2008-02-26 443968] “Google Update”=“c:\users\Nathalie\AppData\Local\Google\Update\GoogleUpdate.exe” [2009-04-21 133104] “Orb”=“c:\program files\Winamp Remote\bin\OrbTray.exe” [2008-04-01 507904] “Skype”=“c:\program files\Skype\Phone\Skype.exe” [2010-05-13 26192168] “SansaDispatch”=“c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe” [2010-07-11 79872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Windows Defender”=“c:\program files\Windows Defender\MSASCui.exe” [2008-01-19 1008184] “ECenter”=“c:\dell\E-Center\EULALauncher.exe” [2008-02-29 17920] “Apoint”=“c:\program files\DellTPad\Apoint.exe” [2008-01-25 167936] “OEM02Mon.exe”=“c:\windows\OEM02Mon.exe” [2008-03-04 36864] “VolPanel”=“c:\program files\Creative\SBAudigy\Volume Panel\VolPanlu.exe” [2006-11-27 180224] “UpdReg”=“c:\windows\UpdReg.EXE” [2000-05-11 90112] “PSQLLauncher”=“c:\program files\Fingerprint Reader Suite\launcher.exe” [2007-04-17 49168] “DELL Webcam Manager”=“c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe” [2007-07-27 118784] “IAAnotif”=“c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe” [2007-03-21 174872] “Google Desktop Search”=“c:\program files\Google\Google Desktop Search\GoogleDesktop.exe” [2010-06-24 30192] “PCMService”=“c:\program files\Dell\MediaDirect\PCMService.exe” [2007-12-21 184320] “LaCie Shortcut Startup”=“c:\program files\LaCie\Shortcut Button\LaCieShortcutTrayApp.exe” [2007-11-26 270336] “dscactivate”=“c:\program files\Dell Support Center\gs_agent\custom\dsca.exe” [2008-03-11 16384] “DellSupportCenter”=“c:\program files\Dell Support Center\bin\sprtcmd.exe” [2009-05-21 206064] “Logitech Hardware Abstraction Layer”=“KHALMNPR.EXE” [2006-05-10 94208] “GrooveMonitor”=“c:\program files\Microsoft Office\Office12\GrooveMonitor.exe” [2008-10-25 31072] “Dell DataSafe Online”=“c:\program files\Dell DataSafe Online\DataSafeOnline.exe” [2009-11-13 1807600] “AppleSyncNotifier”=“c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe” [2010-07-13 47904] “Windows Mobile-based device management”=“c:\windows\WindowsMobile\wmdSync.exe” [2006-11-02 215552] “TkBellExe”=“c:\program files\Common Files\Real\Update_OB\realsched.exe” [2009-04-12 198160] “SunJavaUpdateSched”=“c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-02-18 248040] “NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2009-06-16 13793824] “NVHotkey”=“c:\windows\system32\nvHotkey.dll” [2009-06-16 92704] “BitDefender Antiphishing Helper”=“c:\program files\BitDefender\BitDefender 2010\IEShow.exe” [2009-10-19 71152] “BDAgent”=“c:\program files\BitDefender\BitDefender 2010\bdagent.exe” [2010-04-01 1123360] “Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2010-06-20 35760] “Adobe ARM”=“c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” [2010-06-09 976832] “QuickTime Task”=“c:\program files\QuickTime\QTTask.exe” [2010-03-17 421888] “SigmatelSysTrayApp”=“c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe” [2007-12-03 405504] “iTunesHelper”=“c:\program files\iTunes\iTunesHelper.exe” [2010-07-21 141608] c:\users\Nathalie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] Stay On Top.lnk - c:\users\Nathalie\AppData\Roaming\Microsoft\Installer\{5C6C0192-BA75-4932-8931-B2FF88346E49}\_16dd6dc4.exe [2010-9-9 10134] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-4 703280] Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-7-2 450560] QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2007-9-7 1180952] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] “EnableLUA”= 0 (0x0) “DisableCAD”= 1 (0x1) “EnableUIADesktopToggle”= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] 2007-04-17 04:04 86528 ——a-w- c:\windows\System32\psqlpwd.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli psqlpwd [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @=“Service” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @=“Driver” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @=“Service” [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall] “DisableMonitoring”=dword:00000001 R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [2009-10-19 183880] R3 DellBIOS;DellBIOS;c:\windows\DellBIOS.Sys [2010-04-06 7168] R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-24 30192] R3 PulseUsb;Livescribe Smartpen USB Driver;c:\windows\system32\DRIVERS\PulseUsb.sys [2010-07-28 20480] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] R4 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\drivers\ianvstor.sys [2007-09-07 209408] S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-12-03 73728] S2 LBeepKE;LBeepKE;c:\windows\system32\Drivers\LBeepKE.sys [2006-06-29 3712] S2 PenCommService;Livescribe Smartpen Service;c:\program files\Common Files\Livescribe\PenComm\PenCommService.exe [2010-07-28 444928] S3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [2010-02-10 153448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 bdx REG_MULTI_SZ scan LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . Contenu du dossier ‘Tâches planifiées’ 2010-09-11 c:\windows\Tasks\AutoSmartDefrag.job - c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-01-04 23:07] 2010-09-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-239197203-1647586574-351346142-1000Core.job - c:\users\Nathalie\AppData\Local\Google\Update\GoogleUpdate.exe [2009-04-21 08:14] 2010-09-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-239197203-1647586574-351346142-1000UA.job - c:\users\Nathalie\AppData\Local\Google\Update\GoogleUpdate.exe [2009-04-21 08:14] . . ———- Examen supplémentaire———- . uInternet Settings,ProxyOverride = .local IE: &Winamp; Search - c:\programdata\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html IE: Add to Google Photos Screensa&ver; - c:\windows\system32\GPhotos.scr/200 IE: E&xport; to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Google Sidewiki… - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html IE: Send image to &Bluetooth; Device… - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Send page to &Bluetooth; Device… - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll FF - ProfilePath - c:\users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\zxi4vbkv.default\ FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query;= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query;= FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ——PARAMETRES FIREFOX—— c:\program files\Mozilla Firefox\greprefs\all.js - pref(“network.IDN.whitelist.xn—mgbaam7a8h”, true); c:\program files\Mozilla Firefox\greprefs\all.js - pref(“network.IDN.whitelist.xn—mgberp4a5d4ar”, true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref(“dom.ipc.plugins.enabled”, false); . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-Dell DataSafe Scheduler - c:\program files\Dell DataSafe Online\Bin\DataSafeOnlineScheduler.exe Notify-GoToAssist - c:\program files\Citrix\GoToAssist\514\G2AWinLogon.dll *********************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-09-11 15:41 Windows 6.0.6002 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d’éléments en démarrage automatique cachés ... HKCU\Software\Microsoft\Windows\CurrentVersion\Run SansaDispatch = c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe?D?i?s?k?\?S?a?n?s?a? ?U?p?d?a?t?e?r?????????????????????????????????????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ********************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x922FF11B]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0x8ddbad24 \Driver\ACPI -> acpi.sys @ 0x80689d68 \Driver\atapi -> ataport.SYS @ 0x84b75a2c \Driver\iaStor -> iastor.sys @ 0x84adc918 IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK ************************************************************************ . ——————————- CLES DE REGISTRE BLOQUEES——————————- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @=“FlashBroker” “LocalizedString”=”@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] “Enabled”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @=“c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @=“IFlashBroker4” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @=”{00020424-0000-0000-C000-000000000046}” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}” “Version”=“1.0” . ——————————- DLLs chargées dans les processus actifs——————————- - - - - - - - > ‘lsass.exe’(776) c:\windows\system32\psqlpwd.dll c:\program files\Fingerprint Reader Suite\homefus2.dll c:\program files\Fingerprint Reader Suite\infra.dll . Heure de fin: 2010-09-11 15:43:32 ComboFix-quarantined-files.txt 2010-09-11 13:43 Avant-CF: 110 729 474 048 bytes free Après-CF: 110 893 969 408 bytes free - - End Of File - - 4133771919F23A9D4E7B91E4ECAC4B70 Tak Jesper Rasmussen
[ Ignorer ] [ # 12 ] Peder TeamSpywarefri
11.09.2010 17:51:13 Redaktør Team Spywarefri Antal indlæg: 12994	Åbn Notesblok og kopier teksten med fed skrift ind, gem den som CFScript.txt samme sted som Combofix. Killall:: Snapshot:: File:: c:\users\Nathalie\AppData\Roaming\SetValue.bat c:\users\Nathalie\AppData\Roaming\GetValue.vbs Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du “giver slip” med musen. http://www.fromsej.saknet.dk/billeder/cfscript.gif Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse. Kopier den fremkomne log herind. Klik her: http://www.gmer.net/download.php og download installationsprogrammet for Gmer til skrivebordet, og klik derefter på filen for at køre Gmer. Hvis den i indledende scanning lokaliserer poster vist i rødt eller angiver “skjult” eller “rootkit”, stop der, og klik på Kopiér knappen, og højreklik på skrivebordet, vælg “Ny”> Tekst dokument. Når filen er oprettet, skal du åbne den og højreklik igen og vælge Sæt ind. Kopier indholdet og post det her, tak. Hvis ikke, så fjern de flueben ved disse > IAT/EAT Show all Alle drev end C drevet. Klik på Scan, før scanning, skal du sørge for alle andre programmer er lukket, og ingen andre aktioner såsom en planlagt antivirus scanning vil ske samtidig med denne scanning. Brug heller ikke computeren under scanningen. Når scanningen er færdig, klik på Kopier knappen, og højreklik på skrivebordet, vælg “Ny”> Tekst dokument. Når filen er oprettet, skal du åbne den og højreklik igen og vælge Sæt ind. Kopier den tekst herind.
[ Ignorer ] [ # 13 ] Jesper Rasmussen
11.09.2010 19:30:49 Antal indlæg: 44	Det gik godt noget af vejen. Combofix fandt rootkit. Genstart. Efter Etape 1, 2, 3, 4 og 5: Fingerprint software Error: Cannot initialize application. Jeg klikkede OK. Etape 6, 6A, 7,..., 50. Sletning af filer. Automatisk genstart. Rapport: ComboFix 10-09-08.03 - Nathalie 11/09/2010 18:57:05.2.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.33.1033.18.3581.2645 [GMT 2:00] Lancé depuis: c:\users\Nathalie\Desktop\alg.exe.exe Commutateurs utilisés :: c:\users\Nathalie\Desktop\CFScript.txt FW: Trend Micro Personal Firewall enabled {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6} SP: Windows Defender enabled (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} FILE :: “c:\users\Nathalie\AppData\Roaming\GetValue.vbs” “c:\users\Nathalie\AppData\Roaming\SetValue.bat” . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\users\Nathalie\AppData\Local\Temp\IadHide5.dll c:\users\Nathalie\AppData\Roaming\GetValue.vbs c:\users\Nathalie\AppData\Roaming\SetValue.bat . ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 )))))))))))))))))))))))))))))))))))) . 2010-09-11 17:05 . 2010-09-11 17:05 ———— d——-w- c:\users\Public\AppData\Local\temp 2010-09-11 17:05 . 2010-09-11 17:05 ———— d——-w- c:\users\Default\AppData\Local\temp 2010-09-11 16:43 . 2010-09-11 16:43 ———— d——-w- C:\alg.exe4669a 2010-09-11 13:43 . 2010-09-11 17:08 ———— d——-w- c:\users\Nathalie\AppData\Local\temp 2010-09-11 13:21 . 2010-09-11 13:43 ———— d——-w- C:\alg.exe 2010-09-11 13:18 . 2010-09-11 13:18 56 —-ha-w- c:\windows\system32\ezsidmv.dat 2010-09-11 13:15 . 2010-09-11 13:15 ———— d——-w- C:\_OTS 2010-09-09 13:51 . 2010-09-09 13:51 ———— d——-w- c:\users\Nathalie\AppData\Roaming\Malwarebytes 2010-09-09 13:50 . 2010-04-29 13:39 38224 ——a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-09 13:50 . 2010-09-09 13:50 ———— d——-w- c:\program files\Malwarebytes’ Anti-Malware 2010-09-09 13:50 . 2010-09-09 13:50 ———— d——-w- c:\programdata\Malwarebytes 2010-09-09 13:50 . 2010-04-29 13:39 20952 ——a-w- c:\windows\system32\drivers\mbam.sys 2010-09-09 13:46 . 2010-09-09 13:46 109344 ——a-w- c:\users\Nathalie\AppData\Local\GDIPFONTCACHEV1.DAT 2010-09-09 08:24 . 2010-09-09 08:24 ———— d——-w- c:\program files\Stay On Top 2010-08-30 19:59 . 2009-07-14 17:45 445008 ——a-w- c:\windows\system32\drivers\Wdf01000.sys 2010-08-30 19:59 . 2009-07-14 17:45 38480 ——a-w- c:\windows\system32\drivers\WdfLdr.sys 2010-08-30 19:56 . 2010-08-30 19:56 ———— d——-w- c:\program files\DIFX 2010-08-30 19:55 . 2010-08-30 19:55 ———— d——-w- c:\program files\Common Files\Livescribe 2010-08-30 19:55 . 2010-08-30 19:55 ———— d——-w- c:\users\Nathalie\AppData\Local\Livescribe 2010-08-30 19:54 . 2010-08-30 19:54 ———— d——-w- c:\program files\Livescribe 2010-08-30 19:52 . 2010-08-30 19:57 ———— d——-w- c:\users\Nathalie\AppData\Roaming\Downloaded Installations . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-11 17:09 . 2008-06-30 18:09 ———— d——-w- c:\users\Nathalie\AppData\Roaming\Skype 2010-09-11 17:07 . 2008-06-22 11:56 238432 ——a-w- c:\programdata\nvModes.dat 2010-09-11 17:05 . 2008-05-17 04:27 12 ——a-w- c:\windows\bthservsdp.dat 2010-09-11 16:36 . 2008-06-30 18:10 ———— d——-w- c:\users\Nathalie\AppData\Roaming\skypePM 2010-09-09 08:24 . 2010-09-09 08:24 10134 ——a-r- c:\users\Nathalie\AppData\Roaming\Microsoft\Installer\{5C6C0192-BA75-4932-8931-B2FF88346E49}\_28d27794.exe 2010-09-09 08:24 . 2010-09-09 08:24 10134 ——a-r- c:\users\Nathalie\AppData\Roaming\Microsoft\Installer\{5C6C0192-BA75-4932-8931-B2FF88346E49}\_16dd6dc4.exe 2010-09-04 06:52 . 2008-06-25 04:06 ———— d——-w- c:\program files\Microsoft Silverlight 2010-09-03 20:50 . 2008-05-17 04:55 ———— d——-w- c:\programdata\Dell 2010-08-30 19:59 . 2010-08-30 19:59 0 —-ha-w- c:\windows\system32\drivers\Msft_Kernel_PulseUsb_01009.Wdf 2010-08-30 19:59 . 2010-08-30 19:59 0 —-ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf 2010-08-17 18:10 . 2010-09-01 02:37 372736 ———w- c:\programdata\Dell\DSL\DSLCheck.exe 2010-08-11 21:26 . 2008-05-17 04:55 ———— d——-w- c:\program files\Microsoft Works 2010-08-11 21:24 . 2008-08-16 20:54 ———— d——-w- c:\programdata\Microsoft Help 2010-08-11 21:21 . 2006-11-02 11:18 ———— d——-w- c:\program files\Windows Mail 2010-08-06 16:53 . 2010-08-06 16:52 ———— d——-w- c:\program files\iTunes 2010-08-06 16:52 . 2010-08-06 16:52 ———— d——-w- c:\program files\iPod 2010-08-06 16:52 . 2008-07-01 13:29 ———— d——-w- c:\program files\Common Files\Apple 2010-08-06 16:47 . 2010-08-06 16:47 73000 ——a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe 2010-08-06 16:46 . 2008-08-03 17:21 ———— d——-w- c:\program files\Safari 2010-08-06 16:45 . 2010-08-06 16:45 72488 ——a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.17.8\SetupAdmin.exe 2010-07-28 11:32 . 2010-07-28 11:32 1461992 ——a-w- c:\windows\system32\WdfCoInstaller01009.dll 2010-07-28 11:32 . 2010-07-28 11:32 20480 ——a-w- c:\windows\system32\drivers\PulseUsb.sys 2010-07-11 21:06 . 2010-07-11 21:06 354744 ——a-w- c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaUpdaterInstall.exe 2010-07-11 21:06 . 2010-07-11 21:06 79872 ——a-w- c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe 2010-07-11 21:06 . 2010-07-11 21:06 574344 ——a-w- c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaUpdater.exe 2010-07-11 19:15 . 2010-07-11 19:15 71992 ——a-w- c:\programdata\Apple Computer\Installer Cache\Safari 5.33.16.0\SetupAdmin.exe 2010-06-26 06:05 . 2010-08-11 17:40 916480 ——a-w- c:\windows\system32\wininet.dll 2010-06-26 06:02 . 2010-08-11 17:40 71680 ——a-w- c:\windows\system32\iesetup.dll 2010-06-26 06:02 . 2010-08-11 17:40 109056 ——a-w- c:\windows\system32\iesysprep.dll 2010-06-26 04:25 . 2010-08-11 17:40 133632 ——a-w- c:\windows\system32\ieUnatt.exe 2010-06-21 13:37 . 2010-08-11 17:39 2037760 ——a-w- c:\windows\system32\win32k.sys 2010-06-19 16:35 . 2008-07-02 09:53 7808 ——a-w- c:\users\Nathalie\AppData\Local\d3d9caps.dat 2010-06-18 17:31 . 2010-08-11 17:38 36864 ——a-w- c:\windows\system32\rtutils.dll 2010-06-18 15:04 . 2010-08-11 17:36 302080 ——a-w- c:\windows\system32\drivers\srv.sys 2010-06-18 15:04 . 2010-08-11 17:36 144896 ——a-w- c:\windows\system32\drivers\srv2.sys 2010-06-16 16:04 . 2010-08-11 17:36 905088 ——a-w- c:\windows\system32\drivers\tcpip.sys 2010-06-24 16:26 . 2009-10-20 20:18 119808 ——a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll 2008-05-17 04:44 . 2008-05-17 04:44 74 —sh—r- c:\windows\CT4CET.bin 2008-05-17 12:15 . 2008-05-17 12:06 8192 —sha-w- c:\windows\Users\Default\NTUSER.DAT . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . Note les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] “{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}”= “c:\program files\Winamp Toolbar\winamptb.dll” [2009-05-06 1262888] [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay] @=”{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}” [HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}] 2007-04-17 04:13 721408 ——a-w- c:\program files\Fingerprint Reader Suite\farchns.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen] @=”{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}” [HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}] 2007-04-17 04:13 721408 ——a-w- c:\program files\Fingerprint Reader Suite\farchns.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “DellSupport”=“c:\program files\DellSupport\DSAgnt.exe” [2007-03-15 460784] “swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2008-05-17 68856] “LaCie Backup”=“c:\program files\LaCie\Backup Software\\LaCieBackup.exe” [2007-12-03 2600960] “ISUSPM Startup”=“c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe” [2004-06-14 221184] “ISUSScheduler”=“c:\program files\Common Files\InstallShield\UpdateService\issch.exe” [2006-09-11 86960] “DellSupportCenter”=“c:\program files\Dell Support Center\bin\sprtcmd.exe” [2009-05-21 206064] “L08AXLRD_3904876”=“c:\program files\Microsoft Student\Microsoft Student with Encarta Premium 2008 DVD\EDICT.EXE” [2007-05-21 351000] “LDM”=“c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe” [2008-07-02 32768] “Picasa Media Detector”=“c:\program files\Picasa2\PicasaMediaDetector.exe” [2008-02-26 443968] “Google Update”=“c:\users\Nathalie\AppData\Local\Google\Update\GoogleUpdate.exe” [2009-04-21 133104] “Orb”=“c:\program files\Winamp Remote\bin\OrbTray.exe” [2008-04-01 507904] “Skype”=“c:\program files\Skype\Phone\Skype.exe” [2010-05-13 26192168] “SansaDispatch”=“c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe” [2010-07-11 79872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Windows Defender”=“c:\program files\Windows Defender\MSASCui.exe” [2008-01-19 1008184] “ECenter”=“c:\dell\E-Center\EULALauncher.exe” [2008-02-29 17920] “Apoint”=“c:\program files\DellTPad\Apoint.exe” [2008-01-25 167936] “OEM02Mon.exe”=“c:\windows\OEM02Mon.exe” [2008-03-04 36864] “VolPanel”=“c:\program files\Creative\SBAudigy\Volume Panel\VolPanlu.exe” [2006-11-27 180224] “UpdReg”=“c:\windows\UpdReg.EXE” [2000-05-11 90112] “PSQLLauncher”=“c:\program files\Fingerprint Reader Suite\launcher.exe” [2007-04-17 49168] “DELL Webcam Manager”=“c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe” [2007-07-27 118784] “IAAnotif”=“c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe” [2007-03-21 174872] “Google Desktop Search”=“c:\program files\Google\Google Desktop Search\GoogleDesktop.exe” [2010-06-24 30192] “PCMService”=“c:\program files\Dell\MediaDirect\PCMService.exe” [2007-12-21 184320] “LaCie Shortcut Startup”=“c:\program files\LaCie\Shortcut Button\LaCieShortcutTrayApp.exe” [2007-11-26 270336] “dscactivate”=“c:\program files\Dell Support Center\gs_agent\custom\dsca.exe” [2008-03-11 16384] “DellSupportCenter”=“c:\program files\Dell Support Center\bin\sprtcmd.exe” [2009-05-21 206064] “Logitech Hardware Abstraction Layer”=“KHALMNPR.EXE” [2006-05-10 94208] “GrooveMonitor”=“c:\program files\Microsoft Office\Office12\GrooveMonitor.exe” [2008-10-25 31072] “Dell DataSafe Online”=“c:\program files\Dell DataSafe Online\DataSafeOnline.exe” [2009-11-13 1807600] “AppleSyncNotifier”=“c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe” [2010-07-13 47904] “Windows Mobile-based device management”=“c:\windows\WindowsMobile\wmdSync.exe” [2006-11-02 215552] “TkBellExe”=“c:\program files\Common Files\Real\Update_OB\realsched.exe” [2009-04-12 198160] “SunJavaUpdateSched”=“c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-02-18 248040] “NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2009-06-16 13793824] “NVHotkey”=“c:\windows\system32\nvHotkey.dll” [2009-06-16 92704] “BitDefender Antiphishing Helper”=“c:\program files\BitDefender\BitDefender 2010\IEShow.exe” [2009-10-19 71152] “BDAgent”=“c:\program files\BitDefender\BitDefender 2010\bdagent.exe” [2010-04-01 1123360] “Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2010-06-20 35760] “Adobe ARM”=“c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” [2010-06-09 976832] “QuickTime Task”=“c:\program files\QuickTime\QTTask.exe” [2010-03-17 421888] “SigmatelSysTrayApp”=“c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe” [2007-12-03 405504] “iTunesHelper”=“c:\program files\iTunes\iTunesHelper.exe” [2010-07-21 141608] c:\users\Nathalie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] Stay On Top.lnk - c:\users\Nathalie\AppData\Roaming\Microsoft\Installer\{5C6C0192-BA75-4932-8931-B2FF88346E49}\_16dd6dc4.exe [2010-9-9 10134] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-4 703280] Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-7-2 450560] QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2007-9-7 1180952] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] “EnableLUA”= 0 (0x0) “DisableCAD”= 1 (0x1) “EnableUIADesktopToggle”= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] 2007-04-17 04:04 86528 ——a-w- c:\windows\System32\psqlpwd.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli psqlpwd [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @=“Service” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @=“Driver” [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @=“Service” [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall] “DisableMonitoring”=dword:00000001 R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [2009-10-19 183880] R3 DellBIOS;DellBIOS;c:\windows\DellBIOS.Sys [2010-04-06 7168] R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-24 30192] R3 PulseUsb;Livescribe Smartpen USB Driver;c:\windows\system32\DRIVERS\PulseUsb.sys [2010-07-28 20480] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] R4 iaNvStor;Intel(R) Turbo Memory Controller;c:\windows\system32\drivers\ianvstor.sys [2007-09-07 209408] S2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-12-03 73728] S2 LBeepKE;LBeepKE;c:\windows\system32\Drivers\LBeepKE.sys [2006-06-29 3712] S2 PenCommService;Livescribe Smartpen Service;c:\program files\Common Files\Livescribe\PenComm\PenCommService.exe [2010-07-28 444928] S3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [2010-02-10 153448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 bdx REG_MULTI_SZ scan LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . Contenu du dossier ‘Tâches planifiées’ 2010-09-11 c:\windows\Tasks\AutoSmartDefrag.job - c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-01-04 23:07] 2010-09-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-239197203-1647586574-351346142-1000Core.job - c:\users\Nathalie\AppData\Local\Google\Update\GoogleUpdate.exe [2009-04-21 08:14] 2010-09-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-239197203-1647586574-351346142-1000UA.job - c:\users\Nathalie\AppData\Local\Google\Update\GoogleUpdate.exe [2009-04-21 08:14] . . ———- Examen supplémentaire———- . uInternet Settings,ProxyOverride = .local IE: &Winamp; Search - c:\programdata\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html IE: Add to Google Photos Screensa&ver; - c:\windows\system32\GPhotos.scr/200 IE: E&xport; to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Google Sidewiki… - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html IE: Send image to &Bluetooth; Device… - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Send page to &Bluetooth; Device… - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll FF - ProfilePath - c:\users\Nathalie\AppData\Roaming\Mozilla\Firefox\Profiles\zxi4vbkv.default\ FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query;= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query;= FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ——PARAMETRES FIREFOX—— c:\program files\Mozilla Firefox\greprefs\all.js - pref(“network.IDN.whitelist.xn—mgbaam7a8h”, true); c:\program files\Mozilla Firefox\greprefs\all.js - pref(“network.IDN.whitelist.xn—mgberp4a5d4ar”, true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref(“dom.ipc.plugins.enabled”, false); . *********************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-09-11 19:07 Windows 6.0.6002 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d’éléments en démarrage automatique cachés ... HKCU\Software\Microsoft\Windows\CurrentVersion\Run SansaDispatch = c:\users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe?D?i?s?k?\?S?a?n?s?a? ?U?p?d?a?t?e?r?????????????????????????????????????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ********************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x9270911B]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0x8ddb9d24 \Driver\ACPI -> acpi.sys @ 0x80696d68 \Driver\atapi -> ataport.SYS @ 0x84b78a2c \Driver\iaStor -> iastor.sys @ 0x84adf918 IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK ********************************************************************** . ——————————- CLES DE REGISTRE BLOQUEES——————————- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @=“FlashBroker” “LocalizedString”=”@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] “Enabled”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @=“c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @=“IFlashBroker4” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @=”{00020424-0000-0000-C000-000000000046}” [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @=”{FAB3E735-69C7-453B-A446-B6823C6DF1C9}” “Version”=“1.0” . ——————————- DLLs chargées dans les processus actifs——————————- - - - - - - - > ‘lsass.exe’(772) c:\windows\system32\psqlpwd.dll c:\program files\Fingerprint Reader Suite\homefus2.dll c:\program files\Fingerprint Reader Suite\infra.dll - - - - - - - > ‘Explorer.exe’(6088) c:\users\Nathalie\AppData\Local\Temp\IadHide5.dll c:\program files\Fingerprint Reader Suite\farchns.dll c:\program files\Fingerprint Reader Suite\infra.dll c:\windows\system32\btncopy.dll . ————————————Autres processus actifs———————————— . c:\windows\system32\nvvsvc.exe c:\program files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe c:\program files\BitDefender\BitDefender 2010\vsserv.exe c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\windows\system32\nvvsvc.exe c:\windows\system32\WLANExt.exe c:\program files\Fingerprint Reader Suite\upeksvr.exe c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe c:\windows\system32\CTsvcCDA.exe c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\program files\Retrospect\Retrospect Express HD 2.0\retrorun.exe c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\program files\Dell Support Center\bin\sprtsvc.exe c:\windows\system32\STacSV.exe c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe c:\program files\BitDefender\BitDefender 2010\seccenter.exe c:\windows\system32\conime.exe c:\program files\DellTPad\ApMsgFwd.exe c:\windows\System32\rundll32.exe c:\program files\DellTPad\HidFind.exe c:\program files\Stay On Top\StayOnTop.exe c:\program files\DellTPad\Apntex.exe c:\program files\iPod\bin\iPodService.exe c:\program files\Dell Support Center\gs_agent\dsc.exe c:\windows\servicing\TrustedInstaller.exe c:\program files\Skype\Plugin Manager\skypePM.exe . ************************************************************************ . Heure de fin: 2010-09-11 19:17:19 - La machine a redémarré ComboFix-quarantined-files.txt 2010-09-11 17:17 ComboFix2.txt 2010-09-11 13:43 Avant-CF: 110 519 013 376 bytes free Après-CF: 110 478 487 552 bytes free - - End Of File - - 5A80370EA7C09C4ABFD057C495E28927 Herefter kunne jeg ikke starte nogen af mine tre browsere (fejlmeddelelse: registry key that has been marked for deletion). Jeg foretog download af gmer på USB-nøgle (anden computer). Derefter kopi på skrivebord. Ved forsøg på start af program fremkommer samme fejlmeddelelse: registry key that has been marked for deletion. Hvis jeg kommer over denne forhindring, hvordan sørger jeg så for, at ingen programmer starter under gmer-scan? Skal jeg åbne alle ikoner i taskbar og lukke programmerne, f.eks.? Tak igen Jesper Rasmussen
[ Ignorer ] [ # 14 ] Peder TeamSpywarefri
11.09.2010 20:01:55 Redaktør Team Spywarefri Antal indlæg: 12994	Herefter kunne jeg ikke starte nogen af mine tre browsere (fejlmeddelelse: registry key that has been marked for deletion). Jeg foretog download af gmer på USB-nøgle (anden computer). Derefter kopi på skrivebord. Ved forsøg på start af program fremkommer samme fejlmeddelelse: registry key that has been marked for deletion. Hvornår fik du den besked? Du husker at højreklikke på de programfiler > Kør som administrator 1. Download MBRCheck.exe til dit Skrivebord: http://ad13.geekstogo.com/MBRCheck.exe Dobbeltklik på MBRCheck.exe for at køre programmet.. 2. MBRCheck vil nu køre > Hvis du ser denne linje: Enter ‘Y’ and hit ENTER for more options, or ‘N’ to exit: Skriv N og tast Enter. Der ligger nu en log på dit Skrivebord (MBRCheck_dato_tid.txt) som du skal kopiere ind i dit næste indlæg. Hvordan kører din pc nu, det med at skrivebordet er blevet blå er nok fordi du har kørt SmitfraudFix. Prøv og højreklik på Skrivebordet > Egenskaber > Der kan du ændre Tema og baggrund tapet.
[ Ignorer ] [ # 15 ] Jesper Rasmussen
12.09.2010 00:58:55 Antal indlæg: 44	Jeg fik beskeden efter at have kørt combofix ved start af gmer. Jeg har kørt MBRCheck og fik ikke valget mellem flere muligheder eller exit. Jeg kunne blot afslutte og skrev n efterfulgt af enter. Loggen kommer her: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows Vista Home Premium Edition Windows Information: Service Pack 2 (build 6002), 32-bit Base Board Manufacturer: Dell Inc. BIOS Manufacturer: Dell Inc. System Manufacturer: Dell Inc. System Product Name: XPS M1530 Logical Drives Mask: 0x0000001c Kernel Drivers (total 167): 0x8440B000 \SystemRoot\system32\ntkrnlpa.exe 0x847C4000 \SystemRoot\system32\hal.dll 0x80406000 \SystemRoot\system32\kdcom.dll 0x8040D000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x8047D000 \SystemRoot\system32\PSHED.dll 0x8048E000 \SystemRoot\system32\BOOTVID.dll 0x80496000 \SystemRoot\system32\CLFS.SYS 0x804D7000 \SystemRoot\system32\CI.dll 0x8060C000 \SystemRoot\system32\drivers\Wdf01000.sys 0x8067D000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x8068B000 \SystemRoot\system32\drivers\acpi.sys 0x806D1000 \SystemRoot\system32\drivers\WMILIB.SYS 0x806DA000 \SystemRoot\system32\drivers\msisadrv.sys 0x806E2000 \SystemRoot\system32\drivers\pci.sys 0x80709000 \SystemRoot\System32\drivers\partmgr.sys 0x80718000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x8071B000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x80725000 \SystemRoot\system32\drivers\volmgr.sys 0x80734000 \SystemRoot\System32\drivers\volmgrx.sys 0x8077E000 \SystemRoot\system32\DRIVERS\intelide.sys 0x80785000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS 0x80793000 \SystemRoot\system32\drivers\pciide.sys 0x8079A000 \SystemRoot\System32\drivers\mountmgr.sys 0x84A06000 \SystemRoot\system32\drivers\iastorv.sys 0x84AA6000 \SystemRoot\system32\drivers\iastor.sys 0x84B6D000 \SystemRoot\system32\drivers\atapi.sys 0x84B75000 \SystemRoot\system32\drivers\ataport.SYS 0x84B93000 \SystemRoot\system32\drivers\fltmgr.sys 0x84BC5000 \SystemRoot\system32\drivers\fileinfo.sys 0x807AA000 \SystemRoot\system32\DRIVERS\bdfsfltr.sys 0x84BD5000 \SystemRoot\System32\Drivers\PxHelp20.sys 0x8D80C000 \SystemRoot\System32\Drivers\ksecdd.sys 0x8D87D000 \SystemRoot\system32\drivers\ndis.sys 0x8D988000 \SystemRoot\system32\drivers\msrpc.sys 0x8D9B3000 \SystemRoot\system32\drivers\NETIO.SYS 0x8DA05000 \SystemRoot\System32\drivers\tcpip.sys 0x8DAEF000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x8DC09000 \SystemRoot\System32\Drivers\Ntfs.sys 0x8DD19000 \SystemRoot\system32\drivers\volsnap.sys 0x8DD52000 \SystemRoot\System32\Drivers\spldr.sys 0x8DD5A000 \SystemRoot\system32\DRIVERS\sbp2port.sys 0x8DD70000 \SystemRoot\System32\Drivers\mup.sys 0x8DD7F000 \SystemRoot\System32\drivers\ecache.sys 0x8DDA6000 \SystemRoot\system32\drivers\disk.sys 0x8DDB7000 \SystemRoot\system32\drivers\CLASSPNP.SYS 0x8DDD8000 \SystemRoot\system32\drivers\crcdisk.sys 0x8DDEE000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x8DC00000 \SystemRoot\system32\DRIVERS\tunmp.sys 0x8DBD1000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x91C07000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x92558000 \SystemRoot\system32\DRIVERS\nvBridge.kmd 0x9255A000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8DBE0000 \SystemRoot\System32\drivers\watchdog.sys 0x8DBEC000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x805B7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8D9EE000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x84BDF000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x92807000 \SystemRoot\system32\DRIVERS\yk60x86.sys 0x92A09000 \SystemRoot\system32\DRIVERS\NETw4v32.sys 0x92C38000 \SystemRoot\system32\DRIVERS\ohci1394.sys 0x92C48000 \SystemRoot\system32\DRIVERS\1394BUS.SYS 0x92C56000 \SystemRoot\system32\DRIVERS\sdbus.sys 0x92C70000 \SystemRoot\system32\DRIVERS\rimmptsk.sys 0x92C7F000 \SystemRoot\system32\DRIVERS\rimsptsk.sys 0x92C93000 \SystemRoot\system32\DRIVERS\rixdptsk.sys 0x92CE4000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x92CF7000 \SystemRoot\system32\DRIVERS\Apfiltr.sys 0x92D23000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x92D2E000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x92D39000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x92D51000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys 0x92D57000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x92D5B000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0x92D64000 \SystemRoot\system32\DRIVERS\msiscsi.sys 0x92D93000 \SystemRoot\system32\DRIVERS\storport.sys 0x92DD4000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x92DDF000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x92853000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x9285E000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x92881000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x92890000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x928A4000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x928B9000 \SystemRoot\system32\DRIVERS\termdd.sys 0x92DF6000 \SystemRoot\system32\DRIVERS\swenum.sys 0x928C9000 \SystemRoot\system32\DRIVERS\ks.sys 0x928F3000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x928FD000 \SystemRoot\system32\DRIVERS\umbus.sys 0x9291B000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x92950000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x92961000 \SystemRoot\system32\drivers\stwrt.sys 0x929B6000 \SystemRoot\system32\drivers\portcls.sys 0x9340F000 \SystemRoot\system32\drivers\drmk.sys 0x93434000 \SystemRoot\System32\Drivers\tcusb.sys 0x9343E000 \SystemRoot\System32\Drivers\USBD.SYS 0x93440000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x93457000 \SystemRoot\system32\DRIVERS\OEM02Dev.sys 0x93491000 \SystemRoot\system32\DRIVERS\OEM02Vfx.sys 0x93493000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x9349C000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x934AC000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x934B3000 \SystemRoot\system32\DRIVERS\LHidKE.Sys 0x934BA000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x934C2000 \SystemRoot\system32\DRIVERS\LMouKE.Sys 0x934D4000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x934DD000 \SystemRoot\System32\Drivers\Null.SYS 0x934E4000 \SystemRoot\System32\Drivers\Beep.SYS 0x934F4000 \SystemRoot\System32\drivers\vga.sys 0x93500000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x93521000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x93529000 \SystemRoot\system32\drivers\rdpencdd.sys 0x93531000 \SystemRoot\System32\Drivers\Msfs.SYS 0x9353C000 \SystemRoot\System32\Drivers\Npfs.SYS 0x9354A000 \SystemRoot\System32\DRIVERS\rasacd.sys 0x93553000 \SystemRoot\system32\DRIVERS\tdx.sys 0x93569000 \??\C:\Program Files\Common Files\BitDefender\BitDefender Firewall\bdftdif.sys 0x93585000 \SystemRoot\system32\DRIVERS\smb.sys 0x93599000 \SystemRoot\system32\drivers\afd.sys 0x9440C000 \SystemRoot\System32\DRIVERS\netbt.sys 0x9443E000 \SystemRoot\system32\DRIVERS\pacer.sys 0x94454000 \SystemRoot\system32\DRIVERS\netbios.sys 0x94462000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x94475000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x944B1000 \SystemRoot\system32\drivers\nsiproxy.sys 0x944BB000 \SystemRoot\System32\Drivers\dfsc.sys 0x944D2000 \SystemRoot\system32\DRIVERS\udfs.sys 0x9450D000 \SystemRoot\System32\Drivers\crashdmp.sys 0x9451A000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0x9EEC0000 \SystemRoot\System32\win32k.sys 0x945E1000 \SystemRoot\System32\drivers\Dxapi.sys 0x945EB000 \SystemRoot\system32\DRIVERS\monitor.sys 0x9F0E0000 \SystemRoot\System32\TSDDD.dll 0x9F100000 \SystemRoot\System32\cdd.dll 0x935E1000 \SystemRoot\system32\drivers\luafv.sys 0x8DB0A000 \SystemRoot\system32\drivers\spsys.sys 0x929E3000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x83606000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x83630000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x8363A000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x8364D000 \SystemRoot\system32\drivers\HTTP.sys 0x836BA000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x836D7000 \SystemRoot\system32\DRIVERS\bowser.sys 0x836F0000 \SystemRoot\System32\drivers\mpsdrv.sys 0x83705000 \SystemRoot\system32\drivers\mrxdav.sys 0x83726000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x83745000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x8377E000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x83796000 \SystemRoot\System32\DRIVERS\srv2.sys 0xA480E000 \SystemRoot\System32\DRIVERS\srv.sys 0xA4874000 \SystemRoot\system32\DRIVERS\dsunidrv.sys 0xA4876000 \SystemRoot\System32\Drivers\LBeepKE.sys 0xA4877000 \SystemRoot\system32\drivers\peauth.sys 0xA4955000 \SystemRoot\System32\Drivers\fastfat.SYS 0xA497D000 \SystemRoot\System32\Drivers\secdrv.SYS 0xA4987000 \SystemRoot\System32\drivers\tcpipreg.sys 0xA4993000 \SystemRoot\system32\DRIVERS\bdfm.sys 0xA49B7000 \SystemRoot\system32\DRIVERS\BDHV.SYS 0xA49D6000 \??\C:\Program Files\DellSupport\GTAction\triggers\DSproct.sys 0xA49D8000 \SystemRoot\System32\Drivers\BTHUSB.sys 0x837BD000 \SystemRoot\System32\Drivers\bthport.sys 0xA49E4000 \SystemRoot\system32\DRIVERS\rfcomm.sys 0xA49F5000 \SystemRoot\system32\DRIVERS\BthEnum.sys 0xD1A03000 \SystemRoot\system32\DRIVERS\bthpan.sys 0xD1A1D000 \SystemRoot\system32\drivers\btwavdt.sys 0xD1A83000 \SystemRoot\system32\drivers\btwaudio.sys 0xD1AFE000 \SystemRoot\system32\DRIVERS\btwrchid.sys 0xD1B01000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0x776E0000 \Windows\System32\ntdll.dll Processes (total 112): 0 System Idle Process 4 System 560 C:\Windows\System32\smss.exe 664 csrss.exe 716 C:\Windows\System32\wininit.exe 728 csrss.exe 760 C:\Windows\System32\services.exe 788 C:\Windows\System32\lsass.exe 800 C:\Windows\System32\lsm.exe 940 C:\Windows\System32\svchost.exe 984 C:\Windows\System32\nvvsvc.exe 1012 C:\Windows\System32\svchost.exe 1112 C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe 1124 C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe 1176 C:\Windows\System32\svchost.exe 1228 C:\Windows\System32\svchost.exe 1240 C:\Windows\System32\svchost.exe 1308 C:\Windows\System32\audiodg.exe 1344 C:\Windows\System32\winlogon.exe 1360 C:\Windows\System32\svchost.exe 1392 C:\Windows\System32\SLsvc.exe 1440 C:\Windows\System32\svchost.exe 1600 C:\Windows\System32\svchost.exe 1740 C:\Windows\System32\nvvsvc.exe 1784 C:\Program Files\Fingerprint Reader Suite\upeksvr.exe 480 C:\Windows\System32\wlanext.exe 644 C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe 1840 C:\Windows\System32\spoolsv.exe 1828 C:\Windows\System32\svchost.exe 924 C:\Windows\System32\AEstSrv.exe 932 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1008 C:\Program Files\Bonjour\mDNSResponder.exe 1300 C:\Windows\System32\svchost.exe 1532 C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe 1712 C:\Windows\System32\CTSVCCDA.EXE 2060 C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 2164 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe 2188 C:\Windows\System32\svchost.exe 2280 C:\Program Files\Common Files\Livescribe\PenComm\PenCommService.exe 2380 C:\Windows\System32\svchost.exe 2392 C:\Windows\System32\svchost.exe 2404 C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe 2424 C:\Program Files\Retrospect\Retrospect Express HD 2.0\retrorun.exe 2488 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 2536 C:\Program Files\Dell Support Center\bin\sprtsvc.exe 2564 C:\Windows\System32\stacsv.exe 2616 C:\Windows\System32\svchost.exe 2652 C:\Windows\System32\svchost.exe 2676 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE 2720 C:\Windows\System32\SearchIndexer.exe 3280 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE 1768 C:\Windows\System32\svchost.exe 284 C:\Windows\System32\taskeng.exe 3356 C:\Windows\System32\dwm.exe 3988 C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe 2496 C:\Windows\explorer.exe 3220 C:\Program Files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe 792 C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe 336 C:\Program Files\DellTPad\Apoint.exe 328 C:\Windows\OEM02Mon.exe 3760 C:\Windows\System32\taskeng.exe 3344 C:\Program Files\Creative\SBAudigy\Volume Panel\VolPanlu.exe 4248 C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe 4280 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe 4336 C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe 4420 C:\Program Files\Dell\MediaDirect\PCMService.exe 4460 C:\Program Files\DellTPad\ApMsgFwd.exe 4468 C:\Program Files\LaCie\Shortcut Button\LaCieShortcutTrayApp.exe 4556 C:\Program Files\Dell Support Center\bin\sprtcmd.exe 4564 C:\Program Files\Fingerprint Reader Suite\psqltray.exe 4584 C:\Program Files\DellTPad\hidfind.exe 4632 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 4660 C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe 4712 C:\Windows\WindowsMobile\wmdSync.exe 4756 C:\Program Files\Common Files\Real\Update_OB\realsched.exe 4776 C:\Program Files\Common Files\Java\Java Update\jusched.exe 4812 C:\Windows\System32\rundll32.exe 4860 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe 4952 C:\Program Files\Sigmatel\C-Major Audio\WDM\sttray.exe 4992 C:\Program Files\DellTPad\ApntEx.exe 5000 C:\Program Files\iTunes\iTunesHelper.exe 5060 C:\Program Files\DellSupport\DSAgnt.exe 5068 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 5108 C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe 5148 C:\Program Files\Microsoft Student\Microsoft Student with Encarta Premium 2008 DVD\EDICT.EXE 5212 C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe 5228 C:\Program Files\Picasa2\PicasaMediaDetector.exe 5308 C:\Users\Nathalie\AppData\Local\Google\Update\GoogleUpdate.exe 5340 C:\Program Files\Winamp Remote\bin\OrbTray.exe 5364 C:\Program Files\Skype\Phone\Skype.exe 5376 C:\Users\Nathalie\AppData\Roaming\SanDisk\Sansa Updater\SansaDispatch.exe 5404 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe 5544 C:\Program Files\Dell\QuickSet\quickset.exe 5588 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE 5612 C:\Program Files\Stay On Top\StayOnTop.exe 5996 C:\Program Files\iPod\bin\iPodService.exe 1608 WmiPrvSE.exe 1536 WmiPrvSE.exe 3124 C:\Program Files\Skype\Plugin Manager\skypePM.exe 3360 C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe 6444 C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe 6588 C:\Program Files\Common Files\InstallShield\UpdateService\agent.exe 7264 C:\Windows\System32\wbem\WMIADAP.exe 6260 C:\Windows\System32\SearchProtocolHost.exe 5760 C:\Windows\System32\SearchFilterHost.exe 5524 C:\Program Files\Internet Explorer\iexplore.exe 7716 WmiPrvSE.exe 7816 C:\Windows\servicing\TrustedInstaller.exe 1096 C:\Windows\System32\SearchProtocolHost.exe 6400 C:\Windows\System32\wscript.exe 7628 C:\Users\Nathalie\Desktop\MBRCheck.exe 6424 C:\Windows\System32\conime.exe \\.\C:—> \\.\PhysicalDrive0 at offset 0x00000002`85700000 (NTFS) \\.\D:—> \\.\PhysicalDrive0 at offset 0x00000000`05700000 (NTFS) PhysicalDrive0 Model Number: SAMSUNGHM251JJ, Rev: 2AA00_00 Size Device Name MBR Status —————————————————————— 232 GB \\.\PhysicalDrive0 Windows Vista MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! Jeg oplever ikke umiddelbart nogen problemer med computeren nu. Men jeg ved ikke, hvad problemet var? Jeg forsøger at genstarte og at rette alle opsætninger, så de er som før. Tak Jesper Rasmussen

1 af 5

Næste

Sidst »