Hikyo

Tout d'abord une bonne année et tous mes voeux. Apres quelques jours il n'y a pas eu de suite a ces fichiers BN"x".tmp, donc la totalité de l'infection a été traitée. Je vous remercie beaucoup pour votre aide, j'espere que la prochaine fois sera pour dans longtemps ... tres longtemps ^^. Merci pour tous. Hikyo

Bonjour, voici donc le rapport d antivir : Avira AntiVir Personal Date de création du fichier de rapport : jeudi 25 décembre 2008 23:07 La recherche porte sur 1119750 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : Marionnette Nom de l'ordinateur :MARION Informations de version : BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 18:49:03 ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24/12/2008 18:49:04 ANTIVIR3.VDF : 7.1.1.37 39424 Bytes 25/12/2008 18:48:34 Version du moteur: 8.2.0.45 AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56 AESCRIPT.DLL : 8.1.1.19 336252 Bytes 23/12/2008 18:50:15 AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41 AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38 AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 23/12/2008 18:50:14 AEHEUR.DLL : 8.1.0.75 1524087 Bytes 23/12/2008 18:50:12 AEHELP.DLL : 8.1.2.0 119159 Bytes 23/12/2008 18:50:10 AEGEN.DLL : 8.1.1.8 323956 Bytes 23/12/2008 18:50:09 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56 AECORE.DLL : 8.1.5.2 172405 Bytes 23/12/2008 18:50:08 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Lecteurs locaux Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldrives.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, E:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Tous les fichiers Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : jeudi 25 décembre 2008 23:07 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpdarc.exe' - '1' module(s) sont contrôlés Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqgalry.exe' - '1' module(s) sont contrôlés Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés Processus de recherche 'VM_STI.EXE' - '1' module(s) sont contrôlés Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés Processus de recherche 'hphmon05.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpcmpmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '46' processus ont été contrôlés avec '46' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '60' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Fin de la recherche : jeudi 25 décembre 2008 23:28 Temps nécessaire: 21:08 Minute(s) La recherche a été interrompue ! 1767 Les répertoires ont été contrôlés 62523 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 62521 Fichiers non infectés 2642 Les archives ont été contrôlées 2 Avertissements 0 Consignes Mais comme je vous le disais lors des scans que j ai fais il ne les trouvait pas mais depuis que vous m avez fait la ligne de commande a rentrer dans combofix ca a l'air de s etre calmé. Hikyo

Je l ai ai trouver c est dans la liste d evenement lors des scan il trouve rien donc c est dans C:\windows\temp\BN"x".tmp ou "x" prends une valeurs numerique comprise entre 0-9 j en ai deja eu 6 ou 7 des comme ca : -BNP5.tmp -BNP9.tmp

Je me rappelle pas je suis désolé et j ai l'habitude de supprimer les fichiers ol faudra attendre qu il en detecte de nouveau. Je vai faire une recherche dans les fichier temporaire de windows peut etre y en a ti l encore dedans ou refaire une analyse a malware de temps en temps pendant les analyse malware alvira en detect

Oui d ailleurs je suis en train de refaire un scan anti-virus a l heure ou je post ce message. Mais j ai remarquer qu il detect tres souvent des fichier .tmp infecter a peu pres un tous les 30 minutes ou tous les jours a chaque fois les fichiers ont le meme nom j ai pas d exemple mais il l a encore fait y a 30min. Hikyo

voici : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:47:54, on 25/12/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\MALWAR~1\mbam.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\hphmon05.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\qttask.exe C:\Program Files\D-Tools\daemon.exe C:\WINDOWS\VM_STI.EXE C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe C:\Program Files\Logitech\QuickCam\Quickcam.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\HP\hpcoretech\comp\hpdarc.exe C:\WINDOWS\explorer.exe C:\Malwarebytes\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=pavilion&pf=laptop O15 - Trusted Zone: http://*.mappy.com O15 - Trusted Zone: http://*.orange.fr O15 - Trusted Zone: http://rw.search.ke.voila.fr O15 - Trusted Zone: http://orange.weborama.fr O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{289859E5-2E17-45BF-AFE5-21ED1B96AA52}: NameServer = 192.168.1.1 O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 7963 bytes Par contre je vois des fichier qui reste a la racine du C:\ que je ne connais pas et qui sont en fichier caché. Mais je n ai pas l'habitude de voir de tels fichiers : -sqmdata08.sqm et dautre lui ressemblant -ntdetect.com

Voici le nouveau rapport : ComboFix 08-12-24.01 - Marionnette 2008-12-25 22:27:16.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.175 [GMT 1:00] Lancé depuis: c:\documents and settings\Marionnette\Bureau\plop.exe Commutateurs utilisés :: c:\documents and settings\Marionnette\Bureau\CFScript.txt * Un nouveau point de restauration a été créé FILE :: C:\sokeie.exe c:\windows\system32\fdlbet.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\sokeie.exe c:\windows\system32\Drivers\ati0gmxx.sys . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ATI0GMXX -------\Service_ati0gmxx ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-25 au 2008-12-25 )))))))))))))))))))))))))))))))))))) . 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\fr-fr 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\fr 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\bits 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\l2schemas 2008-12-25 04:19 . 2008-12-25 04:26 <REP> d-------- c:\windows\ServicePackFiles 2008-12-25 04:06 . 2008-12-25 04:06 <REP> d-------- c:\windows\EHome 2008-12-24 14:10 . 2008-12-24 14:10 <REP> d-------- c:\documents and settings\Marionnette\Application Data\Malwarebytes 2008-12-24 14:09 . 2008-12-24 19:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-24 14:09 . 2008-12-24 14:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-24 14:09 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-24 14:09 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-24 01:04 . 2008-12-24 01:04 730 --a------ C:\HijackThis.exe.lnk 2008-12-24 00:09 . 2008-12-25 21:12 <REP> d-------- C:\Malwarebytes 2008-12-23 23:24 . 2008-12-25 04:49 2,396 --a------ c:\windows\system32\PerfStringBackup.TMP 2008-12-23 23:10 . 2008-12-25 22:34 54,156 --ah----- c:\windows\QTFont.qfn 2008-12-23 23:10 . 2008-12-25 17:44 1,409 --a------ c:\windows\QTFont.for 2008-12-23 19:46 . 2008-12-23 19:46 <REP> d-------- c:\program files\Avira 2008-12-23 19:46 . 2008-12-23 19:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-23 21:46 --------- d-----w c:\program files\Fichiers communs\Symantec Shared 2008-12-23 21:44 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec 2008-12-23 13:37 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-23 13:37 --------- d-----w c:\program files\HPQ 2008-11-12 17:43 --------- d-----w c:\documents and settings\All Users\Application Data\Logishrd 2008-11-10 13:31 --------- d-----w c:\program files\Fichiers communs\logishrd 2008-11-10 13:31 --------- d-----w c:\documents and settings\Marionnette\Application Data\Leadertech 2008-11-10 13:30 --------- d-----w c:\program files\Logitech 2008-11-10 13:30 --------- d-----w c:\documents and settings\All Users\Application Data\Logitech 2008-11-10 12:54 --------- d-----w c:\documents and settings\Marionnette\Application Data\Creative 2008-11-04 18:13 --------- d-----w c:\documents and settings\Marionnette\Application Data\AdobeUM 2008-11-03 20:30 --------- d-----w c:\program files\OrangeHSS 2008-11-02 20:02 --------- d-----w c:\program files\Securitoo 2008-11-02 19:57 --------- d-----w c:\program files\Fichiers communs\France Telecom 2005-10-21 17:45 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe . ((((((((((((((((((((((((((((( snapshot@2008-12-25_17.43.08.73 ))))))))))))))))))))))))))))))))))))))))) . - 2008-12-25 16:35:21 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat + 2008-12-25 17:39:04 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat - 2008-12-25 16:35:21 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-12-25 17:39:04 65,536 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-12-25 16:35:18 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008122520081226\index.dat + 2008-12-25 17:39:04 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008122520081226\index.dat - 2008-12-25 16:35:21 81,920 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-12-25 17:39:04 98,304 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "NvMediaCenter"="NvMCTray.dll" [2004-04-07 c:\windows\system32\nvmctray.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880] "SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-10-11 32881] "UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592] "HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "HPHmon05"="c:\windows\system32\hphmon05.exe" [2003-05-22 483328] "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766] "ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152] "QuickTime Task"="c:\windows\system32\qttask.exe" [2005-05-21 77824] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960] "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248] "LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008] "LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 c:\windows\AGRSMMSG.exe] "nwiz"="nwiz.exe" [2004-04-07 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 53248] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.VP40"= vp4vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= . Contenu du dossier 'Tâches planifiées' 2008-12-25 c:\windows\Tasks\Malwarebytes' Anti-Malware.job - c:\progra~1\MALWAR~1\mbam.exe [2008-12-03 19:52] 2008-12-25 c:\windows\Tasks\scardsvr.job - c:\windows\system32\scardsvr.exe [2008-04-14 03:34] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 TCP: {289859E5-2E17-45BF-AFE5-21ED1B96AA52} = 192.168.1.1 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-25 22:33:23 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????????P??|?????? ???B???????????????B? ?????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe c:\program files\Fichiers communs\logishrd\LVMVFM\LVPrcSrv.exe c:\windows\system32\nvsvc32.exe c:\program files\Analog Devices\SoundMAX\SMAgent.exe c:\program files\Apoint2K\ApntEx.exe c:\windows\system32\rundll32.exe c:\program files\Fichiers communs\logishrd\LQCVFX\COCIManager.exe c:\program files\HP\Digital Imaging\bin\hpqgalry.exe c:\program files\Windows Live\Messenger\usnsvc.exe c:\program files\HP\hpcoretech\comp\hpdarc.exe . ************************************************************************** . Heure de fin: 2008-12-25 22:40:50 - La machine a redémarré ComboFix-quarantined-files.txt 2008-12-25 21:40:45 ComboFix2.txt 2008-12-25 21:12:54 ComboFix3.txt 2008-12-25 16:44:24 Avant-CF: 2 797 248 512 octets libres Après-CF: 2,793,684,992 octets libres 161 --- E O F --- 2008-12-25 16:04:29

Bah c est bizarre pourtant c est ce que j ai fais ... La je ne comprends pas J ai bien fais le script comme expliqué. Je vai recommencer et je vai reposter le rapport dans mon prochain message Hikyo

Voici donc le rapport : ComboFix 08-12-24.01 - Marionnette 2008-12-25 22:05:34.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.199 [GMT 1:00] Lancé depuis: c:\documents and settings\Marionnette\Bureau\plop.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-25 au 2008-12-25 )))))))))))))))))))))))))))))))))))) . 2008-12-25 22:04 . 2008-12-25 22:04 <REP> d-------- C:\32788R22FWJFW 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\fr-fr 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\fr 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\bits 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\l2schemas 2008-12-25 04:19 . 2008-12-25 04:26 <REP> d-------- c:\windows\ServicePackFiles 2008-12-25 04:06 . 2008-12-25 04:06 <REP> d-------- c:\windows\EHome 2008-12-24 14:10 . 2008-12-24 14:10 <REP> d-------- c:\documents and settings\Marionnette\Application Data\Malwarebytes 2008-12-24 14:09 . 2008-12-24 19:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-24 14:09 . 2008-12-24 14:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-24 14:09 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-24 14:09 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-24 01:04 . 2008-12-24 01:04 730 --a------ C:\HijackThis.exe.lnk 2008-12-24 00:09 . 2008-12-25 21:12 <REP> d-------- C:\Malwarebytes 2008-12-23 23:24 . 2008-12-25 04:49 2,396 --a------ c:\windows\system32\PerfStringBackup.TMP 2008-12-23 23:10 . 2008-12-25 18:35 54,156 --ah----- c:\windows\QTFont.qfn 2008-12-23 23:10 . 2008-12-25 17:44 1,409 --a------ c:\windows\QTFont.for 2008-12-23 19:46 . 2008-12-23 19:46 <REP> d-------- c:\program files\Avira 2008-12-23 19:46 . 2008-12-23 19:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira 2008-12-17 18:24 . 2008-12-17 18:51 69,632 --a------ C:\sokeie.exe 2008-12-16 23:08 . 2008-12-25 17:35 32,768 --a------ c:\windows\system32\drivers\ati0gmxx.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-23 21:46 --------- d-----w c:\program files\Fichiers communs\Symantec Shared 2008-12-23 21:44 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec 2008-12-23 13:37 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-23 13:37 --------- d-----w c:\program files\HPQ 2008-12-12 17:02 3,088,896 ------w c:\windows\system32\dllcache\mshtml.dll 2008-11-12 17:43 --------- d-----w c:\documents and settings\All Users\Application Data\Logishrd 2008-11-10 13:31 --------- d-----w c:\program files\Fichiers communs\logishrd 2008-11-10 13:31 --------- d-----w c:\documents and settings\Marionnette\Application Data\Leadertech 2008-11-10 13:30 --------- d-----w c:\program files\Logitech 2008-11-10 13:30 --------- d-----w c:\documents and settings\All Users\Application Data\Logitech 2008-11-10 12:54 --------- d-----w c:\documents and settings\Marionnette\Application Data\Creative 2008-11-07 15:45 2,174,976 ----a-w c:\windows\system32\dllcache\WMVCore.dll 2008-11-04 18:13 --------- d-----w c:\documents and settings\Marionnette\Application Data\AdobeUM 2008-11-03 20:30 --------- d-----w c:\program files\OrangeHSS 2008-11-02 20:02 --------- d-----w c:\program files\Securitoo 2008-11-02 19:57 --------- d-----w c:\program files\Fichiers communs\France Telecom 2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-23 12:36 286,720 ------w c:\windows\system32\dllcache\gdi32.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll 2008-10-16 01:01 670,208 ------w c:\windows\system32\dllcache\wininet.dll 2008-10-16 01:01 620,544 ------w c:\windows\system32\dllcache\urlmon.dll 2008-10-16 01:01 1,499,648 ------w c:\windows\system32\dllcache\shdocvw.dll 2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll 2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-10-03 10:03 247,326 ----a-w c:\windows\system32\dllcache\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2005-10-21 17:45 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe . ((((((((((((((((((((((((((((( snapshot@2008-12-25_17.43.08.73 ))))))))))))))))))))))))))))))))))))))))) . - 2008-12-25 16:35:21 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat + 2008-12-25 17:39:04 32,768 -c--a-w c:\windows\system32\config\systemprofile\Cookies\index.dat - 2008-12-25 16:35:21 49,152 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-12-25 17:39:04 65,536 -c--a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-12-25 16:35:18 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008122520081226\index.dat + 2008-12-25 17:39:04 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008122520081226\index.dat - 2008-12-25 16:35:21 81,920 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-12-25 17:39:04 98,304 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "NvMediaCenter"="NvMCTray.dll" [2004-04-07 c:\windows\system32\nvmctray.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880] "SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-10-11 32881] "UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592] "HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "HPHmon05"="c:\windows\system32\hphmon05.exe" [2003-05-22 483328] "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766] "ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152] "QuickTime Task"="c:\windows\system32\qttask.exe" [2005-05-21 77824] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960] "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248] "LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008] "LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 c:\windows\AGRSMMSG.exe] "nwiz"="nwiz.exe" [2004-04-07 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 53248] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=fdlbet.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.VP40"= vp4vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gmxx.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= R0 ati0gmxx;ati0gmxx;c:\windows\system32\Drivers\ati0gmxx.sys [2008-12-16 32768] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09444446-d0eb-11dd-a7d1-000fb043f14d}] \Shell\AutoRun\command - F:\autorunner.exe "www.CCE-ADECCO.com" . Contenu du dossier 'Tâches planifiées' 2008-12-25 c:\windows\Tasks\Malwarebytes' Anti-Malware.job - c:\progra~1\MALWAR~1\mbam.exe [2008-12-03 19:52] 2008-12-25 c:\windows\Tasks\scardsvr.job - c:\windows\system32\scardsvr.exe [2008-04-14 03:34] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 TCP: {289859E5-2E17-45BF-AFE5-21ED1B96AA52} = 192.168.1.1 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-25 22:10:15 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????7?7?7?6??????? ???B???????????????B? ?????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-12-25 22:12:52 ComboFix-quarantined-files.txt 2008-12-25 21:12:11 ComboFix2.txt 2008-12-25 16:44:24 Avant-CF: 2 825 588 736 octets libres Après-CF: 2,808,680,448 octets libres 170 --- E O F --- 2008-12-25 16:04:29

mais je ne l ai pas la clef USB justement ^^.Je suis en train de faire l'examen presenté plus haut je post dans le prochain message le rapport

oulah attendez attendez, hm y a pas de lecteur f: sur le pc portable (pc qui est infecté) enfin si c est un support amovible je ne l ai pas en ma pocession. La personne etant venu juste avec le pc portable. Je vai faire ce que vous m avez indiqué plus haut et je vous post le rapport dans mon prochain message. Hikyo

Re ^^. Voici le nouveau rapport : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:12:35, on 25/12/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\MALWAR~1\mbam.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\hphmon05.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\qttask.exe C:\Program Files\D-Tools\daemon.exe C:\WINDOWS\VM_STI.EXE C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe C:\Program Files\Logitech\QuickCam\Quickcam.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\HP\hpcoretech\comp\hpdarc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Malwarebytes\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=pavilion&pf=laptop O15 - Trusted Zone: http://*.mappy.com O15 - Trusted Zone: http://*.orange.fr O15 - Trusted Zone: http://rw.search.ke.voila.fr O15 - Trusted Zone: http://orange.weborama.fr O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{289859E5-2E17-45BF-AFE5-21ED1B96AA52}: NameServer = 192.168.1.1 O20 - AppInit_DLLs: fdlbet.dll O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 8127 bytes

Bonjour a vous, tout d abord joyeux noel et joyeuses fetes. Alors j ai fais plusieurs analyses avec malwarebytes une sans la mise a jour (a cause de l infection qui m en empechais)e en profondeur si je puis dire) avec la mise a jour. Je vous mettrais seulement les rapports des analyses en profondeur. Et j ai fais l analyse a combo fixdont je vous mettrais enfi le rapport en dernier. Ce que j ai pu remarquer lors des trois analyses avec malware, j avais l impression de retirer a chaque fois les meme HKEY (peut etre le verrez-vous) 1ere analyse malware sans m.a.j. : Malwarebytes' Anti-Malware 1.31 Version de la base de données: 1456 Windows 5.1.2600 Service Pack 2 24/12/2008 19:29:07 mbam-log-2008-12-24 (19-29-07).txt Type de recherche: Examen complet (C:\|) Eléments examinés: 116863 Temps écoulé: 3 hour(s), 42 minute(s), 31 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 4 Clé(s) du Registre infectée(s): 23 Valeur(s) du Registre infectée(s): 5 Elément(s) de données du Registre infecté(s): 5 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 56 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\WINDOWS\system32\jkkHWOfg.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\rsblgbrk.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\fdlbet.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\ddcDwwxV.dll (Trojan.Vundo.H) -> Delete on reboot. Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcdwwxv (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c8a979ac-8dd5-45a8-967b-df01499e75cd} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{c8a979ac-8dd5-45a8-967b-df01499e75cd} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e12cd51d-d115-4398-9c1e-1f096810b6e9} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{e12cd51d-d115-4398-9c1e-1f096810b6e9} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e12cd51d-d115-4398-9c1e-1f096810b6e9} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c8a979ac-8dd5-45a8-967b-df01499e75cd} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\63e509cc (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rs32net (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced DHTML Enable (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\jkkhwofg -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\jkkhwofg -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Dossier(s) infecté(s): C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully. Fichier(s) infecté(s): C:\WINDOWS\system32\ddcDwwxV.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\jkkHWOfg.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\gfOWHkkj.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\gfOWHkkj.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fdlbet.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\rsblgbrk.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\system32\krbglbsr.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\byXOgdbC.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\byXPIxww.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\cbXnMeBt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ddcCVNGy.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ddcDttqP.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ddcDwvVO.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ddcYsRHW.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ddcyvsQJ.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fccyaXoL.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\geBspoPf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\iifcDUOF.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jkkLCuuV.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\khfETkHw.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\khfGvUMf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ljJBTllM.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pmnnNebY.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qoMccYro.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ssqPhFWq.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ssqRKaaX.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSarxx.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSScfmm.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSoiqh.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSvkql.dll (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\tuvvWQHB.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\urqNhFwW.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vowsegnq.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vtUlIywx.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\vtUlLCsP.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xxyaxVmn.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xxyvtrpQ.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\yayyWmJY.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\ati0gmxx.sys (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\drivers\TDSSmqlt.sys (Trojan.TDSS) -> Delete on reboot. C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\xxyaBssr.dll (Backdoor.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\geBtTKCV.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jkkKdbYq.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\opnolKaB.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ddcBtuvt.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\rqRLdCTl.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pmnlllmL.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\urqRLcYP.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\iiffCuvv.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\iifgFYpM.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\khfGyyya.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\BN4.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\TDSSkkai.log (Trojan.TDSS) -> Delete on reboot. C:\WINDOWS\system32\TDSSlxcp.dll (Rootkit.Agent) -> Delete on reboot. 2 eme analyse malware apres m.a.j. : Malwarebytes' Anti-Malware 1.31 Version de la base de données: 1542 Windows 5.1.2600 Service Pack 2 25/12/2008 03:15:25 mbam-log-2008-12-25 (03-15-25).txt Type de recherche: Examen complet (C:\|) Eléments examinés: 118126 Temps écoulé: 1 hour(s), 38 minute(s), 23 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 4 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 2 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati0gmxx (Rootkit.Agent) -> Delete on reboot. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP381\A0051028.sys (Rootkit.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\ati0gmxx.sys (Rootkit.Agent) -> Delete on reboot. analyse avec combofix ComboFix 08-12-24.01 - Marionnette 2008-12-25 17:27:57.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.201 [GMT 1:00] Lancé depuis: c:\documents and settings\Marionnette\Bureau\plop.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\konogifm.dll c:\windows\system32\mgvkhmfw.dll c:\windows\system32\pdycyv.dll c:\windows\system32\sxjnoudp.ini c:\windows\system32\TDSSmtve.dat c:\windows\system32\UwyyJRqr.ini c:\windows\system32\UwyyJRqr.ini2 c:\windows\system32\vujqarmv.ini c:\windows\system32\zfigoe.dll c:\windows\Temp\tmp3.tmp . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV.SYS -------\Service_TDSSserv.sys ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-25 au 2008-12-25 )))))))))))))))))))))))))))))))))))) . 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\fr-fr 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\fr 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\system32\bits 2008-12-25 04:25 . 2008-12-25 04:25 <REP> d-------- c:\windows\l2schemas 2008-12-25 04:19 . 2008-12-25 04:26 <REP> d-------- c:\windows\ServicePackFiles 2008-12-25 04:06 . 2008-12-25 04:06 <REP> d-------- c:\windows\EHome 2008-12-24 14:10 . 2008-12-24 14:10 <REP> d-------- c:\documents and settings\Marionnette\Application Data\Malwarebytes 2008-12-24 14:09 . 2008-12-24 19:37 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-24 14:09 . 2008-12-24 14:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-24 14:09 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-24 14:09 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-24 01:04 . 2008-12-24 01:04 730 --a------ C:\HijackThis.exe.lnk 2008-12-24 00:09 . 2008-12-24 01:17 <REP> d-------- C:\Malwarebytes 2008-12-23 23:24 . 2008-12-25 04:49 2,396 --a------ c:\windows\system32\PerfStringBackup.TMP 2008-12-23 23:10 . 2008-12-25 17:37 54,156 --ah----- c:\windows\QTFont.qfn 2008-12-23 23:10 . 2008-12-25 17:32 1,409 --a------ c:\windows\QTFont.for 2008-12-23 19:46 . 2008-12-23 19:46 <REP> d-------- c:\program files\Avira 2008-12-23 19:46 . 2008-12-23 19:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira 2008-12-17 18:24 . 2008-12-17 18:51 69,632 --a------ C:\sokeie.exe 2008-12-16 23:08 . 2008-12-25 17:35 32,768 --a------ c:\windows\system32\drivers\ati0gmxx.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-23 21:46 --------- d-----w c:\program files\Fichiers communs\Symantec Shared 2008-12-23 21:44 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec 2008-12-23 13:37 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-23 13:37 --------- d-----w c:\program files\HPQ 2008-11-12 17:43 --------- d-----w c:\documents and settings\All Users\Application Data\Logishrd 2008-11-10 13:31 --------- d-----w c:\program files\Fichiers communs\logishrd 2008-11-10 13:31 --------- d-----w c:\documents and settings\Marionnette\Application Data\Leadertech 2008-11-10 13:30 --------- d-----w c:\program files\Logitech 2008-11-10 13:30 --------- d-----w c:\documents and settings\All Users\Application Data\Logitech 2008-11-10 12:54 --------- d-----w c:\documents and settings\Marionnette\Application Data\Creative 2008-11-04 18:13 --------- d-----w c:\documents and settings\Marionnette\Application Data\AdobeUM 2008-11-03 20:30 --------- d-----w c:\program files\OrangeHSS 2008-11-02 20:02 --------- d-----w c:\program files\Securitoo 2008-11-02 19:57 --------- d-----w c:\program files\Fichiers communs\France Telecom 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll 2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2005-10-21 17:45 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "NvMediaCenter"="NvMCTray.dll" [2004-04-07 c:\windows\system32\nvmctray.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-07 4730880] "SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2004-10-11 32881] "UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592] "HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "HPHmon05"="c:\windows\system32\hphmon05.exe" [2003-05-22 483328] "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2004-03-01 200766] "ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 81920] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152] "QuickTime Task"="c:\windows\system32\qttask.exe" [2005-05-21 77824] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960] "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248] "LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008] "LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 c:\windows\AGRSMMSG.exe] "nwiz"="nwiz.exe" [2004-04-07 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 53248] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=fdlbet.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.VP40"= vp4vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0gmxx.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= R0 ati0gmxx;ati0gmxx;c:\windows\system32\Drivers\ati0gmxx.sys [2008-12-16 32768] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09444446-d0eb-11dd-a7d1-000fb043f14d}] \Shell\AutoRun\command - F:\autorunner.exe "www.CCE-ADECCO.com" . Contenu du dossier 'Tâches planifiées' 2008-12-25 c:\windows\Tasks\Malwarebytes' Anti-Malware.job - c:\progra~1\MALWAR~1\mbam.exe [2008-12-03 19:52] 2008-12-25 c:\windows\Tasks\scardsvr.job - c:\windows\system32\scardsvr.exe [2008-04-14 03:34] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{393F97BD-4553-4709-ACB1-004D77D2B019} - c:\windows\system32\rqRJyywU.dll BHO-{C8A979AC-8DD5-45A8-967B-DF01499E75CD} - c:\windows\system32\jkkHWOfg.dll HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe HKCU-Run-RecordNow! - (no file) HKLM-Run-HPHUPD05 - c:\program files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe HKLM-Run-DXDllRegExe - dxdllreg.exe . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 TCP: {289859E5-2E17-45BF-AFE5-21ED1B96AA52} = 192.168.1.1 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-25 17:36:08 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????7?7?7?6??????? ???B???????????????B? ?????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe c:\program files\Fichiers communs\logishrd\LVMVFM\LVPrcSrv.exe c:\windows\system32\nvsvc32.exe c:\program files\Analog Devices\SoundMAX\SMAgent.exe c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe c:\program files\Apoint2K\ApntEx.exe c:\windows\system32\rundll32.exe c:\program files\Fichiers communs\logishrd\LQCVFX\COCIManager.exe c:\program files\HP\Digital Imaging\bin\hpqgalry.exe c:\program files\Windows Live\Messenger\usnsvc.exe c:\program files\HP\hpcoretech\comp\hpdarc.exe . ************************************************************************** . Heure de fin: 2008-12-25 17:44:21 - La machine a redémarré ComboFix-quarantined-files.txt 2008-12-25 16:44:15 Avant-CF: 2 679 885 824 octets libres Après-CF: 2,690,031,616 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptOut 192 --- E O F --- 2008-12-25 16:04:29 Voila les trois rapports, donc les fichiers que je trouve meme si je les enleve avec malware sont les les HKEY LOCAL MACHINE (rootkit). J ai fais au bas mots 6 analyses au total et pour chaque analyse c est la meme chose les rootkit sont toujours la. Je n'arrive pas a m'en debarasser. Hikyo

Bonjour a vous. J'ai trouvé la solution mais je ne sais pas pourquoi, il a fallu que je renomme le ficher d installation pour pouvoir l installer. Est ce qu'il etait bloquer par le dit virus, je n'en sais rien. Pour pouvoir le lancer j'ai du faire pareil renommer le fichier executable. Je posterais le rapport apres avoir lancer l'analyse. Je viens donc de le lancer mais je ne peux pas le mettre a jour, je pense que l infection bloque la mise a jour du logiciel. Je vai faire un premier examen sans et je reessayerais par la suite de le mettre a jour et de refaire un examen. Bien a vous. Hikyo

Bonjour a vour. J'ai pu installer M-bam mais pas le lancer (comme je l'ai dit dans mon premier post). Quand je double-clic sus l icone rien ne se passe. C est la qu est le plus gros de mes probleme en fait. Avant meme de poster sur le forum j avais deja essayer m-bam (toutes les version 1.12 1.17 .131 rien n y changeait). J'ai essayé d'utiliser le portable pour telecharger m-bam avec le lien que vous m'avez donné, il me mets systematiquement que le serveur est introuvable et une sorte de petite fenetre pop en me disant attention virus veuillez telecharger un aintivirus (je sais tres bien que ce n est pas un virus et que ce qui se produit resulte de l infection). Je me demande si l infection n'empeche pas le lancement du programme m-bam. Je viens de mettre le fichier en lien que vous m avez donner sur le PC en utilisant mon propre PC(via reseau) mais je ne peux pas l'installer. Je vai essayer de passer en mode sans echec (j'ai aussi remarquer que le pc portable avait du mal a passer en mode sans echac aussi mais je ne sais pas si c est a cause de l infection) pour voir si je peux l'installer et le lancer, mais je pense que ca ne marchera pas. Hikyo