Forums Zebulon.fr: Résolu - PC infecté - Potential Spyware Operation - Forums Zebulon.fr

Bonjour,

PC infecté.

Affichage aux 5 minutes de message Potential Spyware Operation
J
e n'ai plus accès au gestionnaire de tâches ni à la configuration des programmes.

Voici le fichier HijackThis.


Merci à l'avance si vous pouvez m'aider.

GLH


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:17, on 2007-11-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\msanton.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\Download\Spyware\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.novem.ca/...s/slide0005.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\msanton.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: setings.exe
O4 - Global Startup: startup.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.ao.../ampx_en_dl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6250 bytes

Ce message a été modifié par GLH - 02 décembre 2007 - 06:54 .

Bonjour GLH et bienvenue sur zebulon

1/Télécharger http://siri.urz.free...mitfraudFix.exe ou ici: http://siri.geekstog...mitfraudFix.exe (de S!Ri) sur ton bureau


2/Double cliquer sur smitfraudfix.exe

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
sauvegarde ce rapport et poste le

bruce lee, le dimanche 25 novembre 2007 à 04h57, dit :

bruce lee, le dimanche 25 novembre 2007 à 04h57, dit :

bruce lee, le dimanche 25 novembre 2007 à 04h57, dit :

Bonjour Bru Lee,

Voici le rapport via smitfraudfix

Merci

P.S. désolé pour les 2 réponses vide. C'est mon erreur de débutant....


SmitFraudFix v2.254

Rapport fait à 7:23:04,01, 2007-11-25
Executé à partir de C:\Download\Spyware\Smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\msanton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\profil1


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\profil1\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\profil1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WebSTAR DPX USB Cable Modem Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 24.200.241.37
DNS Server Search Order: 24.201.245.77
DNS Server Search Order: 24.200.243.189

HKLM\SYSTEM\CCS\Services\Tcpip\..\{22F396DE-0056-4B62-87FB-504F35026341}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\..\{22F396DE-0056-4B62-87FB-504F35026341}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\..\{22F396DE-0056-4B62-87FB-504F35026341}: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=24.200.241.37 24.201.245.77 24.200.243.189


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Re,

1. Télécharge combofix.exe (par sUBs) ici :

http://www.techsuppo...Bs/ComboFix.exe

http://download.blee...ta/ComboFix.exe

sur ton Bureau.

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.
3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

bruce lee, le dimanche 25 novembre 2007 à 11h22, dit :

Rebonjour,

Voici le rapport via Combofix

Merci.

GLH

ComboFix 07-11-19.3 - profil1 2007-11-25 12:05:07.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.120 [GMT -5:00]
Running from: C:\Documents and Settings\profil1\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))
.

2007-11-24 12:58 <REP> d-------- C:\Documents and Settings\NetworkService\Application Data\Webroot
2007-11-24 11:27 20,280 --a------ C:\WINDOWS\system32\drivers\SSFS0BB9.sys
2007-11-24 11:26 1,526,072 --a------ C:\WINDOWS\WRSetup.dll
2007-11-24 11:14 <REP> d-------- C:\Program Files\Webroot
2007-11-24 11:14 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\Webroot
2007-11-24 11:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Webroot
2007-11-24 11:14 163,640 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2007-11-24 11:14 23,864 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2007-11-24 11:14 21,816 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2007-11-24 11:12 <REP> d-------- C:\Documents and Settings\profil1\Application Data\Webroot
2007-11-24 00:00 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2007-11-23 23:43 <REP> d-------- C:\Documents and Settings\profil1\Application Data\Grisoft
2007-11-23 23:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-11-23 22:25 <REP> d-------- C:\Program Files\RegistrySmart
2007-11-23 22:25 <REP> d-------- C:\Documents and Settings\profil1\Application Data\RegistrySmart
2007-11-23 20:47 <REP> d-------- C:\Program Files\Yahoo!
2007-11-23 20:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-11-23 20:46 <REP> d-------- C:\Program Files\CCleaner
2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-23 16:54 <REP> d-ah----- C:\Documents and Settings\Administrateur\Modèles
2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Mes documents
2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Favoris
2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Bureau
2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Application Data\Symantec
2007-11-23 16:54 <REP> d-a------ C:\Documents and Settings\Administrateur\Application Data\CyberLink
2007-11-22 23:19 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
2007-11-22 23:19 6,144 --a------ C:\WINDOWS\system32\msanton.exe
2007-11-22 23:14 <REP> d-------- C:\Documents and Settings\profil1\Application Data\TrojanHunter
2007-11-22 22:40 <REP> d-------- C:\Program Files\TrojanHunter 5.0
2007-11-22 21:09 8,116 --a------ C:\WINDOWS\system32\sol852.txt
2007-11-22 21:06 15,872 --a------ C:\WINDOWS\windisk.dll
2007-11-22 20:48 28,417 --a------ C:\WINDOWS\trayicons.exe
2007-11-18 14:21 28,417 --a------ C:\Documents and Settings\profil1\wn852.exe
2007-10-28 14:18 9 --a------ C:\WINDOWS\system32\client.sid
2007-10-28 14:15 <REP> d-------- C:\WINDOWS\MaxTV
2007-10-28 14:15 <REP> d-------- C:\Program Files\DMV
2007-10-27 06:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-10-27 06:34 <REP> d-------- C:\Program Files\Apple Software Update
2007-10-27 06:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2007-10-27 06:24 <REP> d-------- C:\Program Files\QuickTime

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-25 01:31 --------- d-----w C:\Program Files\adslTV
2007-11-24 23:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\AVG7
2007-11-24 19:04 --------- d-----w C:\Documents and Settings\profil1\Application Data\wsInspector
2007-11-24 17:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-24 04:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-23 04:19 6,144 ----a-w C:\WINDOWS\system32\timoty.exe
2007-11-18 16:48 --------- d-----w C:\Documents and Settings\profil1\Application Data\Skype
2007-11-08 12:45 --------- d-----w C:\Documents and Settings\profil1\Application Data\AdobeUM
2007-10-28 19:41 --------- d-----w C:\Documents and Settings\profil1\Application Data\vlc
2007-10-19 22:03 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-10-16 01:42 --------- d-----w C:\Program Files\Fichiers communs\NSV
2007-10-16 00:54 --------- d-----w C:\Program Files\Fichiers communs\Nullsoft
2007-10-08 22:03 --------- d-----w C:\Program Files\Skype
2007-10-08 22:03 --------- d-----w C:\Program Files\Fichiers communs\Skype
2007-10-08 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2007-10-08 20:37 --------- d-----w C:\Program Files\PhotoCam
2007-10-08 19:41 --------- d-----w C:\Program Files\AutoWebCam
2007-10-08 19:40 --------- d-----w C:\Program Files\STOIK Imaging
2007-10-08 19:40 --------- d-----w C:\Documents and Settings\profil1\Application Data\STOIK
2007-10-08 18:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-21 18:47 202,826 ----a-w C:\WINDOWS\system32\atasnt40.dll
2003-04-24 12:00 94,864 --sh--w C:\WINDOWS\twain.dll
2004-08-19 23:09 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-19 23:09 1,028,096 --sh--w C:\WINDOWS\system32\mfc42.dll
2004-08-19 23:09 54,784 --sh--w C:\WINDOWS\system32\msvcirt.dll
2004-08-19 23:09 413,696 --sh--w C:\WINDOWS\system32\msvcp60.dll
2004-08-19 23:09 343,040 --sh--w C:\WINDOWS\system32\msvcrt.dll
2004-08-19 23:09 553,472 --sh--w C:\WINDOWS\system32\oleaut32.dll
2004-08-19 23:09 83,456 --sh--w C:\WINDOWS\system32\olepro32.dll
2004-08-19 23:10 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe
.

((((((((((((((((((((((((((((( snapshot@2007-11-23_ 0.16.22.10 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-10-01 21:24:34 16,184 ----a-w C:\WINDOWS\system32\ssiefr.EXE
+ 2007-10-01 21:24:36 219,448 ----a-w C:\WINDOWS\system32\WRLogonNtf.dll
+ 2007-10-01 21:24:36 26,424 ----a-w C:\WINDOWS\system32\wrlzma.dll
+ 2007-01-26 03:14:30 271,936 ----a-w C:\WINDOWS\WRUninstall.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2004-05-12 01:03]
"froody"="C:\WINDOWS\system32\timoty.exe" [2007-11-22 23:19]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-07-01 13:58 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2004-07-05 20:05 C:\WINDOWS\ALCWZRD.EXE]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-05-20 11:47]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 17:28]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38]
"AVG7_EMC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" [2007-05-20 11:47]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-27 06:24]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 04:25]
"version"="C:\WINDOWS\system32\timoty.exe" [2007-11-22 23:19]
"SpySweeper"="C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" [2007-10-01 16:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-05-20 11:47]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
setings.exe [2007-11-22 23:19:58]

C:\Documents and Settings\profil1\Menu D‚marrer\Programmes\D‚marrage\
setings.exe [2007-11-22 23:19:58]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
startup.exe [2007-11-22 23:19:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"froody"=C:\WINDOWS\system32\timoty.exe
"timeNoticeSL001"="C:\Documents and Settings\profil1\wn852.exe" net

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"version"=C:\WINDOWS\system32\timoty.exe

R0 SSFS0BB9;Spy Sweeper File System Filer Driver: 0BB9;C:\WINDOWS\system32\Drivers\SSFS0BB9.SYS
R3 DCamUSBKodak;Kodak DVC323 Digital Video Camera;C:\WINDOWS\system32\DRIVERS\dvc323.sys
R3 WebSTARNdis;WebSTAR DPX USB Cable Modem Adapter;C:\WINDOWS\system32\DRIVERS\WebSTAR.sys

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-11-24 16:55:29 C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"
- C:\Program Files\RegistrySmart\RegistrySmart.exe
- C:\Program Files\RegistrySmart
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 12:09:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-25 12:10:27
C:\ComboFix2.txt ... 2007-11-23 00:16
.
--- E O F ---

Bonjour GLH,

1/Affiche tout les fichiers:

Citation

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :

C:\WINDOWS\system32\libcurl.dll

[list][*]Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.[*]Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. [*]Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté[*]Une nouvelle fenêtre de ton navigateur va apparaître puis post le resultat.

Fait également analyser ces fichiers:

C:\WINDOWS\ trayicons.exe
C:\Documents and Settings\profil1\ wn852.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\
setings.exe

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\
startup.exe

Poste le résultat de l'analyse pour chaque fichier.

@+

bruce lee, le lundi 26 novembre 2007 à 06h51, dit :

Bonjour,

Voici le résultat de l'analyse pour chaque fichier.

Merci.



Fichier libcurl.dll

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.27.0 2007.11.26 -
AntiVir 7.6.0.34 2007.11.26 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.26 -
BitDefender 7.2 2007.11.26 -
CAT-QuickHeal 9.00 2007.11.26 -
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 -
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.26 -
F-Prot 4.4.2.54 2007.11.25 -
F-Secure 6.70.13030.0 2007.11.26 W32/DLoader.EGRY
Ikarus T3.1.1.12 2007.11.26 -
Kaspersky 7.0.0.125 2007.11.27 -
McAfee 5171 2007.11.26 Generic Downloader.q
Microsoft 1.3007 2007.11.26 -
NOD32v2 2687 2007.11.26 -
Norman 5.80.02 2007.11.26 W32/DLoader.EGRY
Panda 9.0.0.4 2007.11.26 -
Prevx1 V2 2007.11.27 Heuristic: Suspicious File With Bad Parent Associations
Rising 20.20.02.00 2007.11.26 -
Sophos 4.23.0 2007.11.26 -
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.26 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.26 Win32.UPXpacked.gen!94 (suspicious)

Information additionnelle
File size: 289280 bytes
MD5: 72e0a90b6c87899a7af88c22b7b8a124
SHA1: 1897325e997e4cc280af05c6ce9315294c860ce4
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...3C1840096106F82


Fichier trayicons.exe reçu le 2007.11.27 00:23:24 (CET)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.27.0 2007.11.26 -
AntiVir 7.6.0.34 2007.11.26 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.26 -
BitDefender 7.2 2007.11.26 -
CAT-QuickHeal 9.00 2007.11.26 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 -
eSafe 7.0.15.0 2007.11.21 suspicious Trojan/Worm
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.26 -
F-Prot 4.4.2.54 2007.11.25 W32/Heuristic-KPP!Eldorado
F-Secure 6.70.13030.0 2007.11.26 -
Ikarus T3.1.1.12 2007.11.26 -
Kaspersky 7.0.0.125 2007.11.27 Heur.Trojan.Generic
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.26 -
NOD32v2 2687 2007.11.26 -
Norman 5.80.02 2007.11.26 -
Panda 9.0.0.4 2007.11.26 Adware/WinAntiVirus2007
Prevx1 V2 2007.11.27 Trojan.Gorhax
Rising 20.20.02.00 2007.11.26 -
Sophos 4.23.0 2007.11.26 Mal/Behav-119
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
Symantec 10 2007.11.26 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.26 Trojan.Crypt.ULPM.Gen

Information additionnelle
File size: 28417 bytes
MD5: 8a6cfa5a2a371674b9da398094ce874e
SHA1: 672e5e66264e63bdb83ed8d8640ac598aecef633
packers: UPX
packers: SuperCrypt, PE_Patch.UPX, UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...A54FE00525FE74B
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.



Fichier wn852.exe reçu le 2007.11.27 00:31:57 (CET)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.27.0 2007.11.26 -
AntiVir 7.6.0.34 2007.11.26 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.26 -
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.26 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 -
eSafe 7.0.15.0 2007.11.21 suspicious Trojan/Worm
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.26 -
F-Prot 4.4.2.54 2007.11.25 W32/Heuristic-KPP!Eldorado
F-Secure 6.70.13030.0 2007.11.26 -
Ikarus T3.1.1.12 2007.11.26 -
Kaspersky 7.0.0.125 2007.11.27 Heur.Trojan.Generic
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 -
NOD32v2 2687 2007.11.26 -
Norman 5.80.02 2007.11.26 -
Panda 9.0.0.4 2007.11.26 Adware/WinAntiVirus2007
Prevx1 V2 2007.11.27 Trojan.Gorhax
Rising 20.20.02.00 2007.11.26 -
Sophos 4.23.0 2007.11.26 Mal/Behav-119
Sunbelt 2.2.907.0 2007.11.24 VIPRE.Suspicious
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.26 Trojan.Crypt.ULPM.Gen

Information additionnelle
File size: 28417 bytes
MD5: 8a6cfa5a2a371674b9da398094ce874e
SHA1: 672e5e66264e63bdb83ed8d8640ac598aecef633
packers: UPX
packers: SuperCrypt, PE_Patch.UPX, UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...A54FE00525FE74B
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.



Fichier setings.exe reçu le 2007.11.27 00:36:47 (CET)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.27.0 2007.11.26 Win-Trojan/Xema.variant
AntiVir 7.6.0.34 2007.11.26 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.11.24 Possibly a new variant of W32/STZ_like!Generic
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.26 Potentially harmful program WinFixer.AKS
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.26 -
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 -
eSafe 7.0.15.0 2007.11.21 suspicious Trojan/Worm
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.26 W32/NUCRP!worm
F-Prot 4.4.2.54 2007.11.25 W32/STZ_like!Generic
F-Secure 6.70.13030.0 2007.11.27 not-virus:Hoax.Win32.Renos.vj
Ikarus T3.1.1.12 2007.11.26 -
Kaspersky 7.0.0.125 2007.11.27 not-virus:Hoax.Win32.Renos.vj
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 Trojan:Win32/SystemHijack.gen
NOD32v2 2687 2007.11.26 Win32/Hoax.Renos.NDY
Norman 5.80.02 2007.11.26 W32/DLoader.EGSG
Panda 9.0.0.4 2007.11.26 Adware/VirusAlarma
Prevx1 V2 2007.11.27 Covert.Sys.Exec
Rising 20.20.02.00 2007.11.26 -
Sophos 4.23.0 2007.11.26 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.26 Trojan.Crypt.ULPM.Gen

Information additionnelle
File size: 6144 bytes
MD5: 9f6d31b904e245630c929ac0afe03e7a
SHA1: 14da627f6fe996f9dbe568d9eac0baecfcc0178c
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...7292C00D2F08D98


Fichier startup.exe reçu le 2007.11.27 00:43:10 (CET)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.27.0 2007.11.26 Win-Trojan/Xema.variant
AntiVir 7.6.0.34 2007.11.26 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.11.24 Possibly a new variant of W32/STZ_like!Generic
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.26 Potentially harmful program WinFixer.AKS
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.26 -
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 -
eSafe 7.0.15.0 2007.11.21 suspicious Trojan/Worm
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.26 W32/NUCRP!worm
F-Prot 4.4.2.54 2007.11.25 W32/STZ_like!Generic
F-Secure 6.70.13030.0 2007.11.27 not-virus:Hoax.Win32.Renos.vj
Ikarus T3.1.1.12 2007.11.26 -
Kaspersky 7.0.0.125 2007.11.27 not-virus:Hoax.Win32.Renos.vj
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 Trojan:Win32/SystemHijack.gen
NOD32v2 2687 2007.11.26 Win32/Hoax.Renos.NDY
Norman 5.80.02 2007.11.26 W32/DLoader.EGSG
Panda 9.0.0.4 2007.11.26 Adware/VirusAlarma
Prevx1 V2 2007.11.27 Covert.Sys.Exec
Rising 20.20.02.00 2007.11.26 -
Sophos 4.23.0 2007.11.26 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.11.24 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.26 Trojan.Crypt.ULPM.Gen

Information additionnelle
File size: 6144 bytes
MD5: 9f6d31b904e245630c929ac0afe03e7a
SHA1: 14da627f6fe996f9dbe568d9eac0baecfcc0178c
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...7292C00D2F08D98

re,

Citation

Rend toi ici:

http://siri.urz.free.fr/upload/

Clique sur Parcourir... parcours les differents dossiers jusqu'a arriver ici:

C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\
setings.exe


Fais un clique gauche sur setings.exe il va prendre une couleur bleue. Clique ensuite sur ouvrir

A coté de "Lien vers le message du forum où le fichier a été demandé" copie/colle ceci:

http://forum.zebulon.fr/index.php?showtopi...p;#entry1134076

Clique ensuite sur Upload

Fait la même manip pour ce fichier:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\
startup.exe

1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

Citation

-Enregistre ce fichier dans: Bureau
-Nom du fichier : CFScript
-Type du fichier : tous les fichiers
-clique sur Enregistrer
-quitte le Bloc Notes


[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt