Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection virulente, besoin de votre aide.

LuceLi

Par LuceLi
dans Analyses et éradication malwares

 Partager

Messages recommandés

LuceLi Junior Member

LuceLi

Posté(e)
  • Auteur
Posté(e)

Je craignais de devoir utiliser combofix mais apparemment l'infection a été balayée et... Tout semble, normal.

 

Voici le rapport de combofix :

 

ComboFix 10-02-12.01 - station3 14/02/2010 18:01:44.1.1 - x86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.761 [GMT 1:00]

Lancé depuis: c:\documents and settings\station3\Bureau\18764-CF.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\station3\Local Settings\Application Data\pcymke

c:\documents and settings\station3\Local Settings\Application Data\pcymke\hgtpsftav.exe

c:\documents and settings\station3\Local Settings\Temporary Internet Files\_tm1B09.tmp

c:\documents and settings\station3\Local Settings\Temporary Internet Files\_tm5FB.tmp

c:\documents and settings\station3\Local Settings\Temporary Internet Files\_tm7DE.tmp

c:\documents and settings\station3\Local Settings\Temporary Internet Files\_tm862.tmp

c:\documents and settings\station3\Local Settings\Temporary Internet Files\_tm8C5.tmp

c:\documents and settings\station3\Local Settings\Temporary Internet Files\_tm906.tmp

c:\documents and settings\station3\Local Settings\Temporary Internet Files\_tmAD6.tmp

c:\documents and settings\station3\Local Settings\Temporary Internet Files\stb06759.tmp

c:\program files\INSTALL.LOG

c:\recycler\S-1-5-21-2667139237-660316752-1649325313-500

c:\windows\EventSystem.log

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SSHNAS

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-14 au 2010-02-14 ))))))))))))))))))))))))))))))))))))

.

 

2010-02-14 03:47 . 2010-02-14 06:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-02-14 03:47 . 2010-02-14 04:34 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-02-14 03:40 . 2010-02-14 03:40 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Simply Super Software

2010-02-13 23:16 . 2010-02-13 23:16 -------- d--h--w- c:\windows\PIF

2010-02-13 22:48 . 2010-02-13 23:28 -------- d-----w- C:\tdsskiller

2010-02-13 16:30 . 2010-02-13 16:30 -------- d-----w- c:\documents and settings\station3\Application Data\Malwarebytes

2010-02-13 16:30 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-13 16:30 . 2010-02-13 16:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-02-13 16:30 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-02-13 16:30 . 2010-02-13 18:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-02-13 05:58 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll

2010-02-13 05:58 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll

2010-02-13 05:58 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll

2010-02-13 05:58 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll

2010-02-13 05:58 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\program files\Trojan Remover

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\documents and settings\station3\Application Data\Simply Super Software

2010-02-13 05:54 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-02-13 05:54 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-02-13 05:54 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-02-13 05:54 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-02-13 05:54 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-02-13 05:54 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-02-13 05:54 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-02-13 05:54 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe

2010-02-13 05:54 . 2010-02-13 05:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-14 17:08 . 2009-12-08 00:04 -------- d-----w- c:\program files\Fichiers communs\Akamai

2010-02-14 03:45 . 2009-09-16 14:33 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2010-02-13 22:55 . 2009-12-09 18:30 -------- d-----w- c:\program files\Alwil Software

2010-02-13 05:40 . 2009-11-05 06:26 -------- d-----w- c:\documents and settings\station3\Application Data\Skype

2010-02-12 01:00 . 2009-12-07 01:01 -------- d-----w- c:\documents and settings\station3\Application Data\Winamp

2010-02-11 16:15 . 2009-11-05 06:30 -------- d-----w- c:\documents and settings\station3\Application Data\skypePM

2010-02-11 10:33 . 2009-12-07 17:49 106464 ----a-w- c:\windows\system32\drivers\bdhv.sys

2010-02-11 10:33 . 2009-12-07 17:46 153448 ----a-w- c:\windows\system32\drivers\bdfm.sys

2010-02-11 10:29 . 2009-09-01 17:30 -------- d-----w- c:\documents and settings\station3\Application Data\gtk-2.0

2010-02-11 03:48 . 2008-11-15 14:10 -------- d-----w- c:\program files\Java

2010-02-11 03:45 . 2010-02-11 03:45 152576 ----a-w- c:\documents and settings\station3\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2010-02-11 03:45 . 2010-02-11 03:45 79488 ----a-w- c:\documents and settings\station3\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2010-02-11 03:39 . 2005-09-08 02:36 90536 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-02-11 03:37 . 2010-02-11 03:32 -------- d-----w- c:\documents and settings\All Users\Application Data\BitDefender

2010-02-11 03:37 . 2010-01-14 03:06 870408 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2010-02-11 03:33 . 2010-02-11 03:32 -------- d-----w- c:\documents and settings\station3\Application Data\BitDefender

2010-02-11 03:32 . 2010-01-24 08:38 -------- d-----w- c:\program files\Fichiers communs\BitDefender

2010-02-11 03:32 . 2010-02-11 03:32 -------- d-----w- c:\program files\BitDefender

2010-02-03 20:56 . 2009-10-02 22:26 -------- d-----w- c:\documents and settings\station3\Application Data\dvdcss

2010-01-31 18:39 . 2009-09-07 09:24 -------- d-----w- c:\documents and settings\station3\Application Data\BitTorrent

2010-01-30 23:19 . 2009-12-29 23:26 1 ----a-w- c:\documents and settings\station3\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-01-28 23:32 . 2004-08-05 19:00 85644 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-28 23:32 . 2004-08-05 19:00 513498 ----a-w- c:\windows\system32\perfh00C.dat

2010-01-12 07:09 . 2010-01-12 07:09 -------- d-----w- c:\program files\Ginipic

2010-01-09 07:58 . 2010-01-07 18:43 -------- d-----w- c:\documents and settings\station3\Application Data\DivX

2010-01-06 05:45 . 2010-01-05 23:56 -------- d-----w- c:\program files\DivX

2010-01-06 05:45 . 2010-01-05 23:56 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2010-01-05 09:56 . 2004-08-05 19:00 832512 ----a-w- c:\windows\system32\wininet.dll

2010-01-05 09:56 . 2004-08-05 19:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-01-05 09:56 . 2004-08-05 19:00 17408 ------w- c:\windows\system32\corpol.dll

2009-12-31 16:14 . 2004-08-05 19:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-29 23:26 . 2009-12-29 23:26 -------- d-----w- c:\documents and settings\station3\Application Data\OpenOffice.org

2009-12-29 23:17 . 2009-12-29 23:17 -------- d-----w- c:\program files\OpenOffice.org 3

2009-12-29 16:45 . 2009-10-29 04:08 21840 ----atw- c:\windows\system32\SIntfNT.dll

2009-12-29 16:45 . 2009-10-29 04:08 17212 ----atw- c:\windows\system32\SIntf32.dll

2009-12-29 16:45 . 2009-10-29 04:08 12067 ----atw- c:\windows\system32\SIntf16.dll

2009-12-29 15:54 . 2009-12-29 15:37 -------- d-----w- c:\documents and settings\station3\Application Data\DAEMON Tools Lite

2009-12-29 15:38 . 2009-12-29 15:38 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-12-29 15:37 . 2009-12-29 15:37 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite

2009-12-19 02:28 . 2009-12-01 21:15 -------- d-----w- c:\program files\Windows Live Safety Center

2009-12-17 07:59 . 2005-02-04 16:50 347648 ----a-w- c:\windows\system32\mspaint.exe

2009-12-14 07:36 . 2004-08-05 19:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2009-12-11 17:05 . 2010-02-14 03:40 3613560 ----a-w- c:\documents and settings\Administrateur\Application Data\Simply Super Software\Trojan Remover\vmrFA.exe

2009-12-11 17:05 . 2010-02-13 16:20 3613560 ----a-w- c:\documents and settings\station3\Application Data\Simply Super Software\Trojan Remover\msc3.exe

2009-12-11 17:05 . 2010-02-13 16:20 3613560 ----a-w- c:\documents and settings\station3\Application Data\Simply Super Software\Trojan Remover\vpm2.exe

2009-12-09 10:26 . 2004-08-04 07:48 2059776 ----a-w- c:\windows\system32\ntkrnlpa.exe

2009-12-09 10:26 . 2004-08-05 19:00 2182400 ----a-w- c:\windows\system32\ntoskrnl.exe

2009-12-04 14:41 . 2004-08-05 19:00 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2009-11-27 17:34 . 2004-08-05 19:00 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-11-27 17:34 . 2004-08-04 07:54 17920 ----a-w- c:\windows\system32\msyuv.dll

2009-11-27 16:38 . 2004-08-05 19:00 85504 ----a-w- c:\windows\system32\avifil32.dll

2009-11-27 16:38 . 2004-08-05 19:00 28672 ----a-w- c:\windows\system32\msvidc32.dll

2009-11-27 16:38 . 2004-08-05 19:00 11264 ----a-w- c:\windows\system32\msrle32.dll

2009-11-27 16:38 . 2004-08-04 07:54 48128 ----a-w- c:\windows\system32\iyuv_32.dll

2009-11-27 16:38 . 2001-08-24 00:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll

2009-11-21 16:42 . 2004-08-05 19:00 470528 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-03-16 13:35 . 2009-03-16 13:35 525128 ----a-w- c:\program files\DXSETUP.exe

2009-03-16 13:35 . 2009-03-16 13:35 94024 ----a-w- c:\program files\DSETUP.dll

2008-08-06 10:28 . 2008-08-06 09:46 21 ----a-w- c:\program files\Fichiers communs\appop.log

2001-09-28 16:01 . 2008-12-20 11:15 6752 ----a-w- c:\program files\UNWISE.INI

2001-09-28 16:00 . 2008-12-20 11:15 164864 ----a-w- c:\program files\UNWISE.EXE

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-12 68856]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-05 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-05 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-05 137752]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-19 999424]

"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-08-06 77824]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"Ginipic"="c:\program files\Ginipic\Ginipic.Bootstrapper.exe" [2009-02-23 160256]

"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-19 71152]

"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2010-01-20 1120704]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-10-17 1070984]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\station3\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Printer Status Monitor.lnk - c:\program files\SHARP\Printer Status Monitor\Smon.exe [2008-8-6 180313]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\SHARP\\Printer Status Monitor\\Smon.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\NTR global\\NTRadmin\\ntradmin.exe"=

 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/12/2009 16:38 691696]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [13/02/2010 06:54 162512]

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 20:00 14336]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/02/2010 06:54 19024]

R2 NTRadmin;NTRadmin;c:\program files\NTR global\NTRadmin\ntradmin.exe [07/04/2008 14:50 189032]

R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [07/12/2009 18:46 153448]

S2 EngineServer;EngineServer;"c:\program files\McAfee\Managed VirusScan\VScan\EngineServer.exe" --> c:\program files\McAfee\Managed VirusScan\VScan\EngineServer.exe [?]

S2 myAgtSvc;Service de protection contre les virus et les logiciels espions McAfee;"c:\program files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart --> c:\program files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe [?]

S3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [19/10/2009 16:06 183880]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 SBFSHOOK;SBFSHOOK;\??\c:\windows\system32\drivers\sbfshook.sys --> c:\windows\system32\drivers\sbfshook.sys [?]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Akamai REG_MULTI_SZ Akamai

bdx REG_MULTI_SZ scan

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.7.36.1#FormImmo]

\Shell\AutoRun\command - install.EXE

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-14 c:\windows\Tasks\Anna Tsuchiya - 1st Live Tour BLOOD OF ROSES.job

- c:\documents and settings\station3\Mes documents\Ma musique\Anna Tsuchiya - 1st Live Tour BLOOD OF ROSES.avi [2009-11-12 02:57]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.tropal.net/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mStart Page = hxxp://www.tropal.net/

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: //about.htm/

Trusted Zone: //Exclude.htm/

Trusted Zone: //LanguageSelection.htm/

Trusted Zone: //Message.htm/

Trusted Zone: //MyAgttryCmd.htm/

Trusted Zone: //MyAgttryNag.htm/

Trusted Zone: //MyNotification.htm/

Trusted Zone: //NOCLessUpdate.htm/

Trusted Zone: //quarantine.htm/

Trusted Zone: //ScanNow.htm/

Trusted Zone: //strings.vbs/

Trusted Zone: //Template.htm/

Trusted Zone: //Update.htm/

Trusted Zone: //VirFound.htm/

Trusted Zone: mcafee.com\*

Trusted Zone: mcafeeasap.com\betavscan

Trusted Zone: mcafeeasap.com\vs

Trusted Zone: mcafeeasap.com\www

TCP: {695A73E4-3F1E-4981-9CE5-74F1F1D36554} = 10.7.36.100

FF - ProfilePath - c:\documents and settings\station3\Application Data\Mozilla\Firefox\Profiles\j0m0pmrj.default\

FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)

FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKCU-Run-Skype - c:\program files\Skype\Phone\Skype.exe

HKCU-Run-WMPNSCFG - c:\program files\Windows Media Player\WMPNSCFG.exe

HKCU-Run-hualwowr - c:\documents and settings\station3\Local Settings\Application Data\pcymke\hgtpsftav.exe

HKLM-Run-MVS Splash - c:\program files\McAfee\Managed VirusScan\DesktopUI\XTray.exe

HKLM-Run-McAfee Managed Services Tray - c:\program files\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe

HKLM-Run-hualwowr - c:\documents and settings\station3\Local Settings\Application Data\pcymke\hgtpsftav.exe

AddRemove-avast5 - c:\program files\Alwil Software\Avast5\aswRunDll.exe

AddRemove-MVS - c:\progra~1\McAfee\MANAGE~1\Agent\myinx

AddRemove-TerraExplorer - c:\program files\Skyline\TerraExplorer\Setup.exe

AddRemove-Windows Media Format Runtime - c:\program files\Windows Media Player\wmsetsdk.exe

AddRemove-Windows Media Player - c:\program files\Windows Media Player\Setup_wm.exe

AddRemove-Zuma Deluxe - c:\program files\Zylom Games\Zuma Deluxe\GameInstlr.exe

AddRemove-Zuma's Revenge Deluxe - c:\program files\Zylom Games\Zuma's Revenge Deluxe\GameInstlr.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-14 18:10

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll IASTOR.SYS spku.sys >>UNKNOWN [0x86786938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf75bffc3

\Driver\ACPI -> ACPI.sys @ 0xf73a6cb8

\Driver\atapi -> 0x867651f8

\Driver\iaStor -> IASTOR.SYS @ 0xf72c78e0

IoDeviceObjectType -> ParseProcedure -> ntoskrnl.exe @ 0x8056f07e

\Device\Harddisk0\DR0 -> ParseProcedure -> ntoskrnl.exe @ 0x8056f07e

NDIS: Intel® PRO/1000 PM Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf70f3ba0

PacketIndicateHandler -> NDIS.sys @ 0xf7100b21

SendHandler -> NDIS.sys @ 0xf70de87b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]

"C040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(1128)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\RTHDCPL.EXE

c:\program files\OpenOffice.org 3\program\soffice.exe

c:\program files\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Heure de fin: 2010-02-14 18:19:17 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-02-14 17:19

 

Avant-CF: 7 593 099 264 octets libres

Après-CF: 10 026 881 024 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=alwaysoff /fastdetect

 

- - End Of File - - ED2693A719DF9C458243F9A1658AC960

 

 

Je ne sais pas si la guérison s'achève ici mais en tout cas il a l'air d'aller beaucoup mieux, et je vous en remercie infiniment, tout d'un coup la fatigue des 24h sans dormir à se demander comment régler le problème s'envole. Merci beaucoup, vraiment.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

Désolé pour le retard, connexion en panne :P

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Driver::

npggsvc

SBFSHOOK

File::

c:\windows\system32\drivers\sbfshook.sys

c:\windows\system32\GameMon.des -service

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

animation1md2.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

 

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

 

Notez que ce scan examine , mais ne désinfecte pas

Kaspersky

Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as...

Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

 

LuceLi Junior Member

LuceLi

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir,

 

Hmm... J'ai un doute, je copie les lignes dans un bloc note vierge, ou dans le dernier log de combofix après que je l'ai lancé une nouvelle fois ?

 

P.S : Ne vous en faites pas pour le retard, de toute façon je n'étais pas très présente.

Modifié par LuceLi
Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e)

Bonjour LuceLi

 

Hmm... J'ai un doute, je copie les lignes dans un bloc note vierge, ou dans le dernier log de combofix après que je l'ai lancé une nouvelle fois ?

 

En attendant Pear, que je salue.

 

Menu Démarrer / Exécuter tapes notepad et clique sur OK.

 

Copie colle le contenu du script prescrit par Pear et sauvegarde le comme indiqué, sur ton Bureau avec comme nom CFScript.txt et continu la suite de la manip.

 

Salut.

LuceLi Junior Member

LuceLi

Posté(e)
  • Auteur
Posté(e)

Bonjour à vous deux. ^^

 

Voici donc le rapport obtenu en suivant vos indications. (Combofix)

 

ComboFix 10-02-12.01 - station3 16/02/2010 15:54:15.3.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.710 [GMT 1:00]

Lancé depuis: c:\documents and settings\station3\Bureau\18764-CF.exe

Commutateurs utilisés :: c:\documents and settings\station3\Bureau\CFScript.txt

AV: avast! Antivirus *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

AV: Total Protection Service *On-access scanning disabled* (Outdated) {8C354827-2F54-4E28-90DC-AD391E77808C}

 

FILE ::

"c:\windows\system32\drivers\sbfshook.sys"

"c:\windows\system32\GameMon.des -service"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SBFSHOOK

-------\Service_npggsvc

-------\Service_SBFSHOOK

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-16 au 2010-02-16 ))))))))))))))))))))))))))))))))))))

.

 

2010-02-14 03:47 . 2010-02-14 06:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-02-14 03:47 . 2010-02-14 04:34 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-02-14 03:40 . 2010-02-14 03:40 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Simply Super Software

2010-02-14 03:40 . 2009-12-11 17:05 3613560 ----a-w- c:\documents and settings\Administrateur\Application Data\Simply Super Software\Trojan Remover\vmrFA.exe

2010-02-13 23:16 . 2010-02-13 23:16 -------- d--h--w- c:\windows\PIF

2010-02-13 22:48 . 2010-02-13 23:28 -------- d-----w- C:\tdsskiller

2010-02-13 16:30 . 2010-02-13 16:30 -------- d-----w- c:\documents and settings\station3\Application Data\Malwarebytes

2010-02-13 16:30 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-13 16:30 . 2010-02-13 16:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-02-13 16:30 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-02-13 16:30 . 2010-02-13 18:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-02-13 16:20 . 2009-12-11 17:05 3613560 ----a-w- c:\documents and settings\station3\Application Data\Simply Super Software\Trojan Remover\msc3.exe

2010-02-13 16:20 . 2009-12-11 17:05 3613560 ----a-w- c:\documents and settings\station3\Application Data\Simply Super Software\Trojan Remover\vpm2.exe

2010-02-13 05:58 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll

2010-02-13 05:58 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll

2010-02-13 05:58 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll

2010-02-13 05:58 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll

2010-02-13 05:58 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\program files\Trojan Remover

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\documents and settings\station3\Application Data\Simply Super Software

2010-02-13 05:54 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-02-13 05:54 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-02-13 05:54 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-02-13 05:54 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-02-13 05:54 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-02-13 05:54 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-02-13 05:54 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-02-13 05:54 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe

2010-02-13 05:54 . 2010-02-13 05:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

2010-02-11 03:45 . 2010-02-11 03:45 152576 ----a-w- c:\documents and settings\station3\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2010-02-11 03:45 . 2010-02-11 03:45 79488 ----a-w- c:\documents and settings\station3\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-16 15:02 . 2009-12-08 00:04 -------- d-----w- c:\program files\Fichiers communs\Akamai

2010-02-16 06:36 . 2009-09-01 17:30 -------- d-----w- c:\documents and settings\station3\Application Data\gtk-2.0

2010-02-16 03:13 . 2009-12-07 01:01 -------- d-----w- c:\documents and settings\station3\Application Data\Winamp

2010-02-16 00:08 . 2010-01-14 03:06 1055440 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2010-02-14 03:45 . 2009-09-16 14:33 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2010-02-13 22:55 . 2009-12-09 18:30 -------- d-----w- c:\program files\Alwil Software

2010-02-13 05:40 . 2009-11-05 06:26 -------- d-----w- c:\documents and settings\station3\Application Data\Skype

2010-02-11 16:15 . 2009-11-05 06:30 -------- d-----w- c:\documents and settings\station3\Application Data\skypePM

2010-02-11 10:33 . 2009-12-07 17:49 106464 ----a-w- c:\windows\system32\drivers\bdhv.sys

2010-02-11 10:33 . 2009-12-07 17:46 153448 ----a-w- c:\windows\system32\drivers\bdfm.sys

2010-02-11 03:48 . 2008-11-15 14:10 -------- d-----w- c:\program files\Java

2010-02-11 03:39 . 2005-09-08 02:36 90536 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-02-11 03:37 . 2010-02-11 03:32 -------- d-----w- c:\documents and settings\All Users\Application Data\BitDefender

2010-02-11 03:33 . 2010-02-11 03:32 -------- d-----w- c:\documents and settings\station3\Application Data\BitDefender

2010-02-11 03:32 . 2010-01-24 08:38 -------- d-----w- c:\program files\Fichiers communs\BitDefender

2010-02-11 03:32 . 2010-02-11 03:32 -------- d-----w- c:\program files\BitDefender

2010-02-03 20:56 . 2009-10-02 22:26 -------- d-----w- c:\documents and settings\station3\Application Data\dvdcss

2010-01-31 18:39 . 2009-09-07 09:24 -------- d-----w- c:\documents and settings\station3\Application Data\BitTorrent

2010-01-30 23:19 . 2009-12-29 23:26 1 ----a-w- c:\documents and settings\station3\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-01-28 23:32 . 2004-08-05 19:00 85644 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-28 23:32 . 2004-08-05 19:00 513498 ----a-w- c:\windows\system32\perfh00C.dat

2010-01-12 07:09 . 2010-01-12 07:09 -------- d-----w- c:\program files\Ginipic

2010-01-09 07:58 . 2010-01-07 18:43 -------- d-----w- c:\documents and settings\station3\Application Data\DivX

2010-01-06 05:45 . 2010-01-05 23:56 -------- d-----w- c:\program files\DivX

2010-01-06 05:45 . 2010-01-05 23:56 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2010-01-05 09:56 . 2004-08-05 19:00 832512 ------w- c:\windows\system32\wininet.dll

2010-01-05 09:56 . 2004-08-05 19:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-01-05 09:56 . 2004-08-05 19:00 17408 ------w- c:\windows\system32\corpol.dll

2009-12-31 16:14 . 2004-08-05 19:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-29 23:26 . 2009-12-29 23:26 -------- d-----w- c:\documents and settings\station3\Application Data\OpenOffice.org

2009-12-29 23:17 . 2009-12-29 23:17 -------- d-----w- c:\program files\OpenOffice.org 3

2009-12-29 16:45 . 2009-10-29 04:08 21840 ----atw- c:\windows\system32\SIntfNT.dll

2009-12-29 16:45 . 2009-10-29 04:08 17212 ----atw- c:\windows\system32\SIntf32.dll

2009-12-29 15:54 . 2009-12-29 15:37 -------- d-----w- c:\documents and settings\station3\Application Data\DAEMON Tools Lite

2009-12-29 15:38 . 2009-12-29 15:38 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-12-29 15:37 . 2009-12-29 15:37 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite

2009-12-19 02:28 . 2009-12-01 21:15 -------- d-----w- c:\program files\Windows Live Safety Center

2009-12-17 07:59 . 2005-02-04 16:50 347648 ----a-w- c:\windows\system32\mspaint.exe

2009-12-14 07:36 . 2004-08-05 19:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2009-12-09 10:26 . 2004-08-04 07:48 2059776 ------w- c:\windows\system32\ntkrnlpa.exe

2009-12-09 10:26 . 2004-08-05 19:00 2182400 ------w- c:\windows\system32\ntoskrnl.exe

2009-12-04 14:41 . 2004-08-05 19:00 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2009-11-27 17:34 . 2004-08-05 19:00 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-11-27 17:34 . 2004-08-04 07:54 17920 ----a-w- c:\windows\system32\msyuv.dll

2009-11-27 16:38 . 2004-08-05 19:00 85504 ----a-w- c:\windows\system32\avifil32.dll

2009-11-27 16:38 . 2004-08-05 19:00 28672 ----a-w- c:\windows\system32\msvidc32.dll

2009-11-27 16:38 . 2004-08-05 19:00 11264 ----a-w- c:\windows\system32\msrle32.dll

2009-11-27 16:38 . 2004-08-04 07:54 48128 ----a-w- c:\windows\system32\iyuv_32.dll

2009-11-27 16:38 . 2001-08-24 00:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll

2009-11-21 16:42 . 2004-08-05 19:00 470528 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-03-16 13:35 . 2009-03-16 13:35 525128 ----a-w- c:\program files\DXSETUP.exe

2009-03-16 13:35 . 2009-03-16 13:35 94024 ----a-w- c:\program files\DSETUP.dll

2008-08-06 10:28 . 2008-08-06 09:46 21 ----a-w- c:\program files\Fichiers communs\appop.log

2001-09-28 16:01 . 2008-12-20 11:15 6752 ----a-w- c:\program files\UNWISE.INI

2001-09-28 16:00 . 2008-12-20 11:15 164864 ----a-w- c:\program files\UNWISE.EXE

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-12 68856]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-05 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-05 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-05 137752]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-19 999424]

"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-08-06 77824]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"Ginipic"="c:\program files\Ginipic\Ginipic.Bootstrapper.exe" [2009-02-23 160256]

"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-19 71152]

"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2010-01-20 1120704]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-10-17 1070984]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\station3\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Printer Status Monitor.lnk - c:\program files\SHARP\Printer Status Monitor\Smon.exe [2008-8-6 180313]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\SHARP\\Printer Status Monitor\\Smon.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\NTR global\\NTRadmin\\ntradmin.exe"=

 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/12/2009 16:38 691696]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [13/02/2010 06:54 162512]

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 20:00 14336]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/02/2010 06:54 19024]

R2 NTRadmin;NTRadmin;c:\program files\NTR global\NTRadmin\ntradmin.exe [07/04/2008 14:50 189032]

R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [07/12/2009 18:46 153448]

S2 EngineServer;EngineServer;"c:\program files\McAfee\Managed VirusScan\VScan\EngineServer.exe" --> c:\program files\McAfee\Managed VirusScan\VScan\EngineServer.exe [?]

S2 myAgtSvc;Service de protection contre les virus et les logiciels espions McAfee;"c:\program files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart --> c:\program files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe [?]

S3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [19/10/2009 16:06 183880]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Akamai REG_MULTI_SZ Akamai

bdx REG_MULTI_SZ scan

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.7.36.1#FormImmo]

\Shell\AutoRun\command - install.EXE

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-16 c:\windows\Tasks\Anna Tsuchiya - 1st Live Tour BLOOD OF ROSES.job

- c:\documents and settings\station3\Mes documents\Ma musique\Anna Tsuchiya - 1st Live Tour BLOOD OF ROSES.avi [2009-11-12 02:57]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.tropal.net/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mStart Page = hxxp://www.tropal.net/

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: //about.htm/

Trusted Zone: //Exclude.htm/

Trusted Zone: //LanguageSelection.htm/

Trusted Zone: //Message.htm/

Trusted Zone: //MyAgttryCmd.htm/

Trusted Zone: //MyAgttryNag.htm/

Trusted Zone: //MyNotification.htm/

Trusted Zone: //NOCLessUpdate.htm/

Trusted Zone: //quarantine.htm/

Trusted Zone: //ScanNow.htm/

Trusted Zone: //strings.vbs/

Trusted Zone: //Template.htm/

Trusted Zone: //Update.htm/

Trusted Zone: //VirFound.htm/

Trusted Zone: mcafee.com\*

Trusted Zone: mcafeeasap.com\betavscan

Trusted Zone: mcafeeasap.com\vs

Trusted Zone: mcafeeasap.com\www

TCP: {695A73E4-3F1E-4981-9CE5-74F1F1D36554} = 10.7.36.100

FF - ProfilePath - c:\documents and settings\station3\Application Data\Mozilla\Firefox\Profiles\j0m0pmrj.default\

FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)

FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-16 16:02

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll IASTOR.SYS spec.sys >>UNKNOWN [0x86786938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf75fcfc3

\Driver\ACPI -> ACPI.sys @ 0xf73e3cb8

\Driver\atapi -> 0x867d31f8

\Driver\iaStor -> IASTOR.SYS @ 0xf73048e0

IoDeviceObjectType -> ParseProcedure -> ntoskrnl.exe @ 0x8056f07e

\Device\Harddisk0\DR0 -> ParseProcedure -> ntoskrnl.exe @ 0x8056f07e

NDIS: Intel® PRO/1000 PM Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7130ba0

PacketIndicateHandler -> NDIS.sys @ 0xf713db21

SendHandler -> NDIS.sys @ 0xf711b87b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]

"C040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2968)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\RTHDCPL.EXE

c:\program files\OpenOffice.org 3\program\soffice.exe

c:\program files\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Heure de fin: 2010-02-16 16:08:07 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-02-16 15:08

ComboFix2.txt 2010-02-16 00:19

ComboFix3.txt 2010-02-14 17:19

 

Avant-CF: 8 915 480 576 octets libres

Après-CF: 8 885 628 928 octets libres

 

- - End Of File - - F5A0B473C46D9E6FF91A597B51BCCFFD

 

 

Et voici a présent le rapport de Kaspersky :

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Tuesday, February 16, 2010

Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Tuesday, February 16, 2010 14:44:05

Records in database: 3518612

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

G:\

H:\

I:\

J:\

 

Scan statistics:

Objects scanned: 107836

Threats found: 3

Infected objects found: 4

Suspicious objects found: 0

Scan duration: 03:38:14

 

 

File name / Threat / Threats count

C:\Documents and Settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\628759C1\3E688669\stbOLEX.dll Infected: not-a-virus:AdWare.Win32.Agent.qic 1

C:\Documents and Settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\C41B8701\3E688669\stbAol.dll Infected: not-a-virus:AdWare.Win32.Agent.qhl 1

C:\Qoobox\Quarantine\C\Documents and Settings\station3\Local Settings\Application Data\pcymke\hgtpsftav.exe.vir Infected: Trojan.Win32.FraudPack.algg 1

C:\System Volume Information\_restore{5D292647-98BA-430E-9316-F4F77B938718}\RP374\A0032391.exe Infected: Trojan.Win32.FraudPack.algg 1

 

Selected area has been scanned.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

File::

C:\Documents and Settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\628759C1\3E688669\stbOLEX.dll

C:\Documents and Settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\C41B8701\3E688669\stbAol.dll

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

animation1md2.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Désinstallez la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez en suite

Un nouveau point de restauration sera créé au redémarrage.

 

Redémarrez

 

Et dites comment va la machine.

LuceLi Junior Member

LuceLi

Posté(e)
  • Auteur
Posté(e)

Bonjour à nouveau Pear.

 

Voici le rapport de Combofix comme demandé.

 

ComboFix 10-02-16.03 - station3 17/02/2010 17:56:56.4.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.621 [GMT 1:00]

Lancé depuis: c:\documents and settings\station3\Bureau\18764-CF.exe

Commutateurs utilisés :: c:\documents and settings\station3\Bureau\CFScript.txt

AV: avast! Antivirus *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: Total Protection Service *On-access scanning disabled* (Outdated) {8C354827-2F54-4E28-90DC-AD391E77808C}

 

FILE ::

"c:\documents and settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\628759C1\3E688669\stbOLEX.dll"

"c:\documents and settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\C41B8701\3E688669\stbAol.dll"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\628759C1\3E688669\stbOLEX.dll

c:\documents and settings\All Users\Application Data\{C1DF1BDA-E7BE-4DC5-A5D9-C3D93F09FA65}\OFFLINE\C41B8701\3E688669\stbAol.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-17 au 2010-02-17 ))))))))))))))))))))))))))))))))))))

.

 

2010-02-17 16:50 . 2010-02-17 16:55 -------- d-----w- C:\18764-CF

2010-02-14 03:47 . 2010-02-14 06:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-02-14 03:47 . 2010-02-14 04:34 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-02-14 03:40 . 2010-02-14 03:40 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Simply Super Software

2010-02-13 23:16 . 2010-02-13 23:16 -------- d--h--w- c:\windows\PIF

2010-02-13 22:48 . 2010-02-13 23:28 -------- d-----w- C:\tdsskiller

2010-02-13 16:30 . 2010-02-13 16:30 -------- d-----w- c:\documents and settings\station3\Application Data\Malwarebytes

2010-02-13 16:30 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-13 16:30 . 2010-02-13 16:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-02-13 16:30 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-02-13 16:30 . 2010-02-13 18:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-02-13 05:58 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll

2010-02-13 05:58 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll

2010-02-13 05:58 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll

2010-02-13 05:58 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll

2010-02-13 05:58 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\program files\Trojan Remover

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Simply Super Software

2010-02-13 05:58 . 2010-02-13 05:58 -------- d-----w- c:\documents and settings\station3\Application Data\Simply Super Software

2010-02-13 05:54 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-02-13 05:54 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-02-13 05:54 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-02-13 05:54 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-02-13 05:54 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-02-13 05:54 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-02-13 05:54 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-02-13 05:54 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe

2010-02-13 05:54 . 2010-02-13 05:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

2010-02-11 03:32 . 2010-02-17 16:47 -------- d-----w- c:\documents and settings\All Users\Application Data\BitDefender

2010-02-11 03:32 . 2010-02-11 03:32 -------- d-----w- c:\program files\BitDefender

2010-01-24 08:38 . 2010-02-17 16:47 -------- d-----w- c:\program files\Fichiers communs\BitDefender

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-17 17:03 . 2009-12-08 00:04 -------- d-----w- c:\program files\Fichiers communs\Akamai

2010-02-16 20:18 . 2009-12-07 01:01 -------- d-----w- c:\documents and settings\station3\Application Data\Winamp

2010-02-16 06:36 . 2009-09-01 17:30 -------- d-----w- c:\documents and settings\station3\Application Data\gtk-2.0

2010-02-16 00:08 . 2010-01-14 03:06 1055440 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2010-02-14 03:45 . 2009-09-16 14:33 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2010-02-13 22:55 . 2009-12-09 18:30 -------- d-----w- c:\program files\Alwil Software

2010-02-13 05:40 . 2009-11-05 06:26 -------- d-----w- c:\documents and settings\station3\Application Data\Skype

2010-02-11 16:15 . 2009-11-05 06:30 -------- d-----w- c:\documents and settings\station3\Application Data\skypePM

2010-02-11 03:48 . 2008-11-15 14:10 -------- d-----w- c:\program files\Java

2010-02-11 03:45 . 2010-02-11 03:45 152576 ----a-w- c:\documents and settings\station3\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

2010-02-11 03:45 . 2010-02-11 03:45 79488 ----a-w- c:\documents and settings\station3\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2010-02-11 03:39 . 2005-09-08 02:36 90536 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-02-03 20:56 . 2009-10-02 22:26 -------- d-----w- c:\documents and settings\station3\Application Data\dvdcss

2010-01-31 18:39 . 2009-09-07 09:24 -------- d-----w- c:\documents and settings\station3\Application Data\BitTorrent

2010-01-30 23:19 . 2009-12-29 23:26 1 ----a-w- c:\documents and settings\station3\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-01-28 23:32 . 2004-08-05 19:00 85644 ----a-w- c:\windows\system32\perfc00C.dat

2010-01-28 23:32 . 2004-08-05 19:00 513498 ----a-w- c:\windows\system32\perfh00C.dat

2010-01-12 07:09 . 2010-01-12 07:09 -------- d-----w- c:\program files\Ginipic

2010-01-09 07:58 . 2010-01-07 18:43 -------- d-----w- c:\documents and settings\station3\Application Data\DivX

2010-01-06 05:45 . 2010-01-05 23:56 -------- d-----w- c:\program files\DivX

2010-01-06 05:45 . 2010-01-05 23:56 -------- d-----w- c:\program files\Fichiers communs\DivX Shared

2010-01-05 09:56 . 2004-08-05 19:00 832512 ------w- c:\windows\system32\wininet.dll

2010-01-05 09:56 . 2004-08-05 19:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-01-05 09:56 . 2004-08-05 19:00 17408 ------w- c:\windows\system32\corpol.dll

2009-12-31 16:14 . 2004-08-05 19:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-29 23:26 . 2009-12-29 23:26 -------- d-----w- c:\documents and settings\station3\Application Data\OpenOffice.org

2009-12-29 23:17 . 2009-12-29 23:17 -------- d-----w- c:\program files\OpenOffice.org 3

2009-12-29 16:45 . 2009-10-29 04:08 21840 ----atw- c:\windows\system32\SIntfNT.dll

2009-12-29 16:45 . 2009-10-29 04:08 17212 ----atw- c:\windows\system32\SIntf32.dll

2009-12-29 15:54 . 2009-12-29 15:37 -------- d-----w- c:\documents and settings\station3\Application Data\DAEMON Tools Lite

2009-12-29 15:38 . 2009-12-29 15:38 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-12-29 15:37 . 2009-12-29 15:37 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite

2009-12-17 07:59 . 2005-02-04 16:50 347648 ----a-w- c:\windows\system32\mspaint.exe

2009-12-14 07:36 . 2004-08-05 19:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2009-12-11 17:05 . 2010-02-14 03:40 3613560 ----a-w- c:\documents and settings\Administrateur\Application Data\Simply Super Software\Trojan Remover\vmrFA.exe

2009-12-11 17:05 . 2010-02-13 16:20 3613560 ----a-w- c:\documents and settings\station3\Application Data\Simply Super Software\Trojan Remover\msc3.exe

2009-12-11 17:05 . 2010-02-13 16:20 3613560 ----a-w- c:\documents and settings\station3\Application Data\Simply Super Software\Trojan Remover\vpm2.exe

2009-12-09 10:26 . 2004-08-04 07:48 2059776 ------w- c:\windows\system32\ntkrnlpa.exe

2009-12-09 10:26 . 2004-08-05 19:00 2182400 ------w- c:\windows\system32\ntoskrnl.exe

2009-12-04 14:41 . 2004-08-05 19:00 453760 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2009-11-27 17:34 . 2004-08-05 19:00 1297408 ----a-w- c:\windows\system32\quartz.dll

2009-11-27 17:34 . 2004-08-04 07:54 17920 ----a-w- c:\windows\system32\msyuv.dll

2009-11-27 16:38 . 2004-08-05 19:00 85504 ----a-w- c:\windows\system32\avifil32.dll

2009-11-27 16:38 . 2004-08-05 19:00 28672 ----a-w- c:\windows\system32\msvidc32.dll

2009-11-27 16:38 . 2004-08-05 19:00 11264 ----a-w- c:\windows\system32\msrle32.dll

2009-11-27 16:38 . 2004-08-04 07:54 48128 ----a-w- c:\windows\system32\iyuv_32.dll

2009-11-27 16:38 . 2001-08-24 00:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll

2009-11-21 16:42 . 2004-08-05 19:00 470528 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-03-16 13:35 . 2009-03-16 13:35 525128 ----a-w- c:\program files\DXSETUP.exe

2009-03-16 13:35 . 2009-03-16 13:35 94024 ----a-w- c:\program files\DSETUP.dll

2008-08-06 10:28 . 2008-08-06 09:46 21 ----a-w- c:\program files\Fichiers communs\appop.log

2001-09-28 16:01 . 2008-12-20 11:15 6752 ----a-w- c:\program files\UNWISE.INI

2001-09-28 16:00 . 2008-12-20 11:15 164864 ----a-w- c:\program files\UNWISE.EXE

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-12 68856]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-05 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-05 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-05 137752]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-19 999424]

"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-08-06 77824]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]

"Ginipic"="c:\program files\Ginipic\Ginipic.Bootstrapper.exe" [2009-02-23 160256]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-10-17 1070984]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

c:\documents and settings\station3\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Printer Status Monitor.lnk - c:\program files\SHARP\Printer Status Monitor\Smon.exe [2008-8-6 180313]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\SHARP\\Printer Status Monitor\\Smon.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\BitTorrent\\bittorrent.exe"=

"c:\\Program Files\\NTR global\\NTRadmin\\ntradmin.exe"=

 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/12/2009 16:38 691696]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [13/02/2010 06:54 162512]

R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 20:00 14336]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/02/2010 06:54 19024]

R2 NTRadmin;NTRadmin;c:\program files\NTR global\NTRadmin\ntradmin.exe [07/04/2008 14:50 189032]

S2 EngineServer;EngineServer;"c:\program files\McAfee\Managed VirusScan\VScan\EngineServer.exe" --> c:\program files\McAfee\Managed VirusScan\VScan\EngineServer.exe [?]

S2 myAgtSvc;Service de protection contre les virus et les logiciels espions McAfee;"c:\program files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart --> c:\program files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe [?]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Akamai REG_MULTI_SZ Akamai

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.7.36.1#FormImmo]

\Shell\AutoRun\command - install.EXE

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-17 c:\windows\Tasks\Anna Tsuchiya - 1st Live Tour BLOOD OF ROSES.job

- c:\documents and settings\station3\Mes documents\Ma musique\Anna Tsuchiya - 1st Live Tour BLOOD OF ROSES.avi [2009-11-12 02:57]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.tropal.net/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mStart Page = hxxp://www.tropal.net/

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: //about.htm/

Trusted Zone: //Exclude.htm/

Trusted Zone: //LanguageSelection.htm/

Trusted Zone: //Message.htm/

Trusted Zone: //MyAgttryCmd.htm/

Trusted Zone: //MyAgttryNag.htm/

Trusted Zone: //MyNotification.htm/

Trusted Zone: //NOCLessUpdate.htm/

Trusted Zone: //quarantine.htm/

Trusted Zone: //ScanNow.htm/

Trusted Zone: //strings.vbs/

Trusted Zone: //Template.htm/

Trusted Zone: //Update.htm/

Trusted Zone: //VirFound.htm/

Trusted Zone: mcafee.com\*

Trusted Zone: mcafeeasap.com\betavscan

Trusted Zone: mcafeeasap.com\vs

Trusted Zone: mcafeeasap.com\www

TCP: {695A73E4-3F1E-4981-9CE5-74F1F1D36554} = 10.7.36.100

FF - ProfilePath - c:\documents and settings\station3\Application Data\Mozilla\Firefox\Profiles\j0m0pmrj.default\

FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)

FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - component: c:\program files\BitDefender\BitDefender 2010\bdaphffext\components\bdaphff2.dll

FF - component: c:\program files\BitDefender\BitDefender 2010\bdaphffext\components\bdaphff3.6.dll

FF - component: c:\program files\BitDefender\BitDefender 2010\bdaphffext\components\bdaphff3.dll

FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-02-17 18:03

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll IASTOR.SYS spqs.sys >>UNKNOWN [0x86786938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf7607fc3

\Driver\ACPI -> ACPI.sys @ 0xf73eecb8

\Driver\atapi -> 0x867d31f8

\Driver\iaStor -> IASTOR.SYS @ 0xf730f8e0

IoDeviceObjectType -> ParseProcedure -> ntoskrnl.exe @ 0x8056f07e

\Device\Harddisk0\DR0 -> ParseProcedure -> ntoskrnl.exe @ 0x8056f07e

NDIS: Intel® PRO/1000 PM Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7180ba0

PacketIndicateHandler -> NDIS.sys @ 0xf718db21

SendHandler -> NDIS.sys @ 0xf716b87b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]

"C040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3276)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\RTHDCPL.EXE

c:\program files\OpenOffice.org 3\program\soffice.exe

c:\program files\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Heure de fin: 2010-02-17 18:10:12 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-02-17 17:10

ComboFix2.txt 2010-02-16 15:08

ComboFix3.txt 2010-02-16 00:19

ComboFix4.txt 2010-02-14 17:19

 

Avant-CF: 7 884 627 968 octets libres

Après-CF: 7 943 032 832 octets libres

 

- - End Of File - - 0605288AB40F9DF0C0B3CF2CFD42FD2D

 

Tout semble aller pour le mieux, aucun message perturbant, aucune trace d'activités non sollicitées, la connexion va bien. Je dirais qu'il n'y a pas de soucis.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
Tout semble aller pour le mieux, aucun message perturbant, aucune trace d'activités non sollicitées, la connexion va bien. Je dirais qu'il n'y a pas de soucis.

 

J'en suis content pour vous.

Si votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,

éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

Modifié par pear
LuceLi Junior Member

LuceLi

Posté(e)
  • Auteur
Posté(e)

L'upload et le download sont excessivement lents mais je vais mettre ça sur les serveurs surchargés pendant les vacances. ^^

 

Je vous remercie infiniment pour votre aide si généreuse. J'ai été très contente de vous trouver et que vous puissiez m'aider aussi vite et avec tant de qualité. Vous faites vraiment un très bon travail, vous êtes des personnes biens. Merci pour tout, encore une fois.

 

Amicalement, Luce

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...