Warning! potential spyware operation

Thanos · le 20 septembre 2007

salut

Ok on va faire autrement >

Télécharge combofix.exe de sUBs

Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur combofix.exe.
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Tape sur la touche 1 pour démarrer le scan.
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
Si le rapport est trop long, poste le en deux fois.

lesandre · le 20 septembre 2007

Re,

Et voici le rapport comme demande.

Merci,

JC

ComboFix 07-09-20.1 - "Jean-Christophe" 2007-09-20 21:21:03.1 - FAT32x86

Microsoft Windows XP ?dition familiale 5.1.2600.2.1252.1.1036.18.68 [GMT 2:00]

* Created a new restore point

.

((((((((((((((((((((((((((((( Fichiers créés 2007-08-20 to 2007-09-20 ))))))))))))))))))))))))))))))))))))

.

2007-09-20 21:19 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-20 20:54 7,680 --a------ C:\WINDOWS\system32\WinAvXX.exe

2007-09-20 20:54 7,680 --a------ C:\WINDOWS\system32\printer.exe

2007-09-19 22:09 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-09-19 16:53 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2007-09-19 16:00 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-09-19 16:00 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-09-19 13:02 <REP> d-------- C:\Program Files\CCleaner

2007-09-19 12:46 <REP> d-------- C:\Program Files\a-squared Free

2007-09-19 10:56 <REP> d-------- C:\Program Files\RegCleaner

2007-09-19 07:26 <REP> d-------- C:\WINDOWS\report

2007-09-19 07:25 86,094 --a------ C:\WINDOWS\BPMNT.dll

2007-09-19 07:25 71,749 --a------ C:\WINDOWS\hcextoutput.dll

2007-09-19 07:25 267,845 --a------ C:\WINDOWS\tsc.exe

2007-09-19 07:25 1,163,344 --a------ C:\WINDOWS\vsapi32.dll

2007-09-19 07:25 <REP> d-------- C:\WINDOWS\AU_Backup

2007-09-19 07:23 69,689 --a------ C:\WINDOWS\UNZIP.DLL

2007-09-19 07:23 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL

2007-09-19 07:23 286,720 --a------ C:\WINDOWS\PATCH.EXE

2007-09-19 07:23 <REP> d-------- C:\WINDOWS\AU_Temp

2007-09-19 07:23 <REP> d-------- C:\WINDOWS\AU_Log

2007-09-18 23:31 883,694 --a------ C:\SmitfraudFix.exe

2007-09-18 23:08 <REP> d-------- C:\SmitfraudFix

2007-09-18 22:39 3,394 --a------ C:\WINDOWS\system32\tmp.reg

2007-09-18 21:10 <REP> d-------- C:\Program Files\Navilog1

2007-09-18 20:54 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

2007-09-17 21:10 <REP> dr------- C:\DOCUME~1\Elyan\Mes documents

2007-09-17 21:10 <REP> dr------- C:\DOCUME~1\Elyan\Favoris

2007-09-14 21:08 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-09-14 14:05 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-09-14 12:59 <REP> dr------- C:\DOCUME~1\ADMINI~1\Mes documents

2007-09-14 12:59 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer

2007-09-14 12:59 <REP> dr------- C:\DOCUME~1\ADMINI~1\Favoris

2007-09-14 12:59 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau

2007-09-14 12:59 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression

2007-09-14 12:59 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles

2007-09-14 12:59 <REP> d-------- C:\DOCUME~1\ADMINI~1\WINDOWS

2007-09-14 12:59 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau

2007-09-14 12:59 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\InterTrust

2007-09-01 15:57 1,268 --a------ C:\WINDOWS\mozver.dat

2007-08-21 20:28 0 --a------ C:\WINDOWS\nsreg.dat

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-14 21:11 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys

2007-09-14 21:11 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys

2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AvastSS.scr

2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll

2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll

2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll

2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll

2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe

2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe

2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll

2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll

2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll

2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll

2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll

2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll

2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll

2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll

2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll

2007-07-29 17:57 --------- d-------- C:\Program Files\Alwil Software

2007-07-29 17:07 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft

2007-07-29 16:24 --------- d-------- C:\Program Files\Realtek Sound Manager

2007-07-29 16:24 --------- d-------- C:\Program Files\AvRack

2007-07-29 16:24 --------- d-------- C:\DOCUME~1\ELYAN\APPLIC~1\Real

2007-07-29 16:24 --------- d-------- C:\DOCUME~1\ELYAN\APPLIC~1\InterTrust

2007-07-29 16:24 --------- d-------- C:\DOCUME~1\ELYAN\APPLIC~1\ICQ

2007-07-29 16:24 --------- d-------- C:\DOCUME~1\ELYAN\APPLIC~1\FUJIFILM

2007-07-26 17:25 --------- d-------- C:\DOCUME~1\OLGA\APPLIC~1\WebCallDirect

2007-07-19 08:58 3583488 --------- C:\WINDOWS\system32\dllcache\mshtml.dll

2007-07-13 01:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll

2007-06-27 15:24 823808 --------- C:\WINDOWS\system32\dllcache\wininet.dll

2007-06-27 15:24 671232 --------- C:\WINDOWS\system32\dllcache\mstime.dll

2007-06-27 15:24 477696 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll

2007-06-27 15:24 232960 --------- C:\WINDOWS\system32\dllcache\webcheck.dll

2007-06-27 15:24 193024 --------- C:\WINDOWS\system32\dllcache\msrating.dll

2007-06-27 15:24 1152000 --------- C:\WINDOWS\system32\dllcache\urlmon.dll

2007-06-27 15:24 105984 --------- C:\WINDOWS\system32\dllcache\url.dll

2007-06-27 15:24 102400 --------- C:\WINDOWS\system32\dllcache\occache.dll

2007-06-27 15:23 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll

2007-06-27 15:23 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2007-06-27 15:23 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll

2007-06-27 15:23 44544 --------- C:\WINDOWS\system32\dllcache\iernonce.dll

2007-06-27 15:23 27648 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll

2007-06-27 15:23 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll

2007-06-27 15:22 384512 --------- C:\WINDOWS\system32\dllcache\iedkcs32.dll

2007-06-27 15:22 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2007-06-27 15:22 230400 --------- C:\WINDOWS\system32\dllcache\ieaksie.dll

2007-06-27 15:22 153088 --------- C:\WINDOWS\system32\dllcache\ieakeng.dll

2007-06-27 15:22 132608 --------- C:\WINDOWS\system32\dllcache\extmgr.dll

2007-06-27 15:22 124928 --------- C:\WINDOWS\system32\dllcache\advpack.dll

2007-06-27 10:28 625152 --------- C:\WINDOWS\system32\dllcache\iexplore.exe

2007-06-27 10:27 63488 --------- C:\WINDOWS\system32\dllcache\ie4uinit.exe

2007-06-27 10:27 13824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-06-27 09:00 161792 --a------ C:\WINDOWS\system32\dllcache\ieakui.dll

2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll

2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\dllcache\msxml3.dll

2005-07-21 15:12 457 --a------ C:\Program Files\INSTALL.LOG

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2003-09-23 09:09 C:\WINDOWS\SOUNDMAN.EXE]

"Disk Monitor"="C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe" [2003-06-18 11:57]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-10-11 22:02]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-06-24 15:16]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-08-06 21:12]

"EoEngine"="" []

"EoWeather"="" []

"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32]

"ExtraFilmHemmaAgent"="C:\Program Files\Extrafilm FotoFacil\Agent.exe" [2006-10-03 09:40]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 11:09]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

"WinAVX"="C:\WINDOWS\system32\WinAvXX.exe" [2007-09-13 11:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]

"NetAppel"="C:\program files\netappel\netappel.exe" [2007-09-15 13:19]

"WinAVX"="C:\WINDOWS\system32\WinAvXX.exe" [2007-09-13 11:06]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"WinAVX"=C:\WINDOWS\system32\WinAvXX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=1 (0x1)

"DisableTaskMgr"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=1 (0x1)

"DisableTaskMgr"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoControlPanel"=1 (0x1)

"NoWindowsUpdate"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Shell"="Explorer.exe C:\WINDOWS\system32\printer.exe"

R3 C4C_BSC2;C4C_BSC2;C:\WINDOWS\system32\DRIVERS\C4C_BSC2.sys

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

S2 vdo_326d-6b44;vdo_326d-6b44;\??\C:\WINDOWS\system32\vdo_326d-6b44.sys

S3 PIXMC10;JVC Communication PIX-MC10 Driver;C:\WINDOWS\system32\Drivers\pixmc10c.sys

S3 PIXMC10A;JVC PIX-MC10 Audio Capture;C:\WINDOWS\system32\Drivers\pixmc10a.sys

S3 PIXMC10V;JVC PIX-MC10 Video Capture;C:\WINDOWS\system32\Drivers\pixmc10v.sys

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys

*Newly Created Service* - HTTPFILTER

.

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-20 21:27:47

Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-09-20 21:30:44 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-09-20 21:30

.

--- E O F ---

Thanos · le 20 septembre 2007

ok lesandre: laisse moi quelques minutes et je te poste une procédure

lesandre · le 20 septembre 2007

Thanks a lot!

JC

Thanos · le 20 septembre 2007

ok, voilà la suite >

Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/32jh0w

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 21 septembre 2007 par charles ingals

lesandre · le 20 septembre 2007

Re,

Je viens d'avoir le message suivant apres l'analyse:

/////

Soumettez le malware à Bleeping Computer pour analyses.

Copiez/Collez le chemin de fichier ci-dessous dans la zone ci-dessus et cliquez sur Envoyer.

C:\DOCUME~1\JEAN-C~1\Bureau.\[4]-Submit_2007-09-20@22.07.zip

/////

Et voici le rapport.

Merci,

JC

ComboFix 07-09-20.1 - "Jean-Christophe" 2007-09-20 22:07:57.2 - FAT32x86

Microsoft Windows XP ?dition familiale 5.1.2600.2.1252.1.1036.18.71 [GMT 2:00]

Command switches used :: C:\Documents and Settings\Jean-Christophe\Bureau\Mes telechargement\Debug\CFScript.txt

* Created a new restore point

FILE::

C:\WINDOWS\system32\WinAvXX.exe

C:\WINDOWS\system32\printer.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\printer.exe

C:\WINDOWS\system32\prn64.dll