message d'erreur "spooldr.exe"

[kontroleur UBU]

bonjour à tous,

 

je suis nouveau sur ce forum et c'est parce que j'ai un souci que je me suis inscrit...

 

bon, je résume...

 

je ne sais pas comment c'est arrivé vu que je ne fréquente pas msn et que généralement je n'ouvre pas les colis suspect, mais il y a deux jours je me suis retrouvé avec un message d'erreur à l'ouverture de mon PC, qui me demandait d'envoyer un rapport parce que "spooldr.exe" avait planté...

 

Suite à ça, je me suis aperçu que toutes mes ressources étaient occupées dès que je me connectais au net par smsss.exe et lsass.exe

 

J'ai fureté avec mon ordi du boulot sur ce forum où j'ai trouvé une solution pour régler mon probleme lié à smss.exe (c'était une variante de exmodulah)... Merci donc déjà à vous pour ce premier souci de réglé.

 

Seulement voila... si j'ai bien récupéré ma connection et mes ressources, j'ai toujours ce message quand j'allume mon pc, rapport à spooldr.exe...

 

J'ai fait marcher avast et panda qui n'ont rien trouvé.

j'ai fait marcher secuser qui m'a trouvé les fichiers non cleanables suivants:

 

worm zhelati.awr C:\windows\system32\away.exe.exe

worm zhelati.awr C:\windows\spooldr.exe

worm nucrp.gen C:\windows\system32\spooldr.syst

TROJ SMALL.Y C:\Windows\SYSHOST.DLL

 

d'où ma question...

 

Comment je fait pour virer cette saleté de ver et ce troyen?

 

merci d'avance les gars

[Gof]

Bonsoir kontroleur UBU

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Merci des informations bien détaillés. Il manque juste une précision sur ton système, quel est il ? xp ? vista ?

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Poste le rapport généré sur le forum.
  

A bientôt.

[kontroleur UBU]

Ah oui, sorry, j'avais pas indiqué ca...

 

j'ai windows xp

 

 

voici mon rappot :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:34:57, on 29/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hercules\Audio\Gamesurround Muse Pocket USB\SNXUACP.exe

C:\Documents and Settings\ubu\Mes documents\Mes fichiers reçus\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

N3 - Netscape 7: user_pref("browser.startup.homepage", "fr.yahoo.com"); (C:\Documents and Settings\UBU\Application Data\Mozilla\Profiles\default\lci5mnrr.slt\prefs.js)

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\UBU\Application Data\Mozilla\Profiles\default\lci5mnrr.slt\prefs.js)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VIASetup] C:\Documents and Settings\ubu\Local Settings\Temp\pftC~tmp\setup.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R

O4 - HKLM\..\Run: [WinSysModule] dsrss.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-1123561945-527237240-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Gamesurround Muse Pocket CPL.lnk = C:\Program Files\Hercules\Audio\Gamesurround Muse Pocket USB\SNXUACP.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/fra_nos_med.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: Qhxwecq - C:\WINDOWS\SYSTEM32\Qhxwecq.dll

O21 - SSODL: mssq32.dll - {3E3D1BBE-BBC0-55CC-E038-BE2B6685E992} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 5543 bytes

[Gof]

Re

 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  

[kontroleur UBU]

voila qui est fait...

 

c'est un peu long, ma connection internet arrete pas de planter, et je pense que ça a un rapport avec cette saloperie de virus...

 

 

ComboFix 07-09-21.2 - "ubu" 2007-09-29 13:14:37.1 - NTFSx86

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinAntiVirus Pro 2006

C:\Program Files\Fichiers communs\Yazzle1281OinUninstaller.exe

C:\Program Files\MyWebSearch

C:\Program Files\MyWebSearch\bar\History\search

C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat

C:\Program Files\SurfAccuracy

C:\Program Files\SurfAccuracy\SAcc.cfg

C:\WINDOWS\httpconf.dat

C:\WINDOWS\spooldr.exe

C:\WINDOWS\system32\away.exe.exe

C:\WINDOWS\system32\drv32dta

C:\WINDOWS\system32\drv32dta\cookies_070926_163202.txt

C:\WINDOWS\system32\drv32dta\cookies_070926_180736.txt

C:\WINDOWS\system32\drv32dta\cookies_070926_181053.txt

C:\WINDOWS\system32\drv32dta\cookies_070926_182022.txt

C:\WINDOWS\system32\drv32dta\cookies_070926_182613.txt

C:\WINDOWS\system32\drv32dta\cookies_070926_182917.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_062802.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_114220.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_115817.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_121128.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_122159.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_123224.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_124408.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_125419.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_130022.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_141531.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_142451.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_152041.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_155332.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_165412.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_180023.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_185124.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_203504.txt

C:\WINDOWS\system32\drv32dta\cookies_070927_203734.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_062458.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_102717.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_102955.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_130227.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_130403.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_130719.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_130905.txt

C:\WINDOWS\system32\drv32dta\cookies_070928_131950.txt

C:\WINDOWS\system32\drv32dta\pstore_070926_163200.txt

C:\WINDOWS\system32\drv32dta\pstore_070926_180734.txt

C:\WINDOWS\system32\drv32dta\pstore_070926_181051.txt

C:\WINDOWS\system32\drv32dta\pstore_070926_182021.txt

C:\WINDOWS\system32\drv32dta\pstore_070926_182612.txt

C:\WINDOWS\system32\drv32dta\pstore_070926_182917.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_062802.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_114219.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_115817.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_121128.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_122158.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_123224.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_124408.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_125419.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_130021.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_141530.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_142451.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_152041.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_155332.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_165412.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_180023.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_185124.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_203502.txt

C:\WINDOWS\system32\drv32dta\pstore_070927_203734.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_062450.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_102716.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_102955.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_130227.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_130403.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_130719.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_130905.txt

C:\WINDOWS\system32\drv32dta\pstore_070928_131949.txt

C:\WINDOWS\system32\spooldr.sys

C:\WINDOWS\system32\stera.job

C:\WINDOWS\system32\stera.log

C:\WINDOWS\system32\svcp.csv

C:\WINDOWS\system32\winsub.xml

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\LEGACY_FOPN

-------\LEGACY_FWDRV.SYS

-------\LEGACY_QQD.SYS

-------\LEGACY_VSPF

-------\LEGACY_VSPF_HK

-------\fwdrv.sys

-------\qqd.sys

-------\vspf

-------\vspf_hk

 

 

((((((((((((((((((((((((( Files Created from 2007-08-28 to 2007-09-29 )))))))))))))))))))))))))))))))

.

 

2007-09-29 13:14 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-28 14:32 86,094 --a------ C:\WINDOWS\BPMNT.dll

2007-09-28 14:32 71,749 --a------ C:\WINDOWS\hcextoutput.dll

2007-09-28 14:32 267,845 --a------ C:\WINDOWS\tsc.exe

2007-09-28 14:32 1,163,344 --a------ C:\WINDOWS\vsapi32.dll

2007-09-28 14:32 <REP> d-------- C:\WINDOWS\report

2007-09-28 14:32 <REP> d-------- C:\WINDOWS\AU_Backup

2007-09-28 14:30 69,689 --a------ C:\WINDOWS\UNZIP.DLL

2007-09-28 14:30 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL

2007-09-28 14:30 286,720 --a------ C:\WINDOWS\PATCH.EXE

2007-09-28 14:30 <REP> d-------- C:\WINDOWS\AU_Temp

2007-09-28 14:30 <REP> d-------- C:\WINDOWS\AU_Log

2007-09-28 13:12 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer

2007-09-28 13:12 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau

2007-09-28 13:12 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression

2007-09-28 13:12 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles

2007-09-28 13:12 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents

2007-09-28 13:12 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris

2007-09-28 13:12 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau

2007-09-28 13:00 <REP> d-------- C:\Program Files\jv16 PowerTools

2007-09-28 12:58 <REP> d-------- C:\Program Files\ToniArts

2007-09-27 13:06 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2007-09-27 13:06 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-09-27 13:06 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-09-27 13:06 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-09-27 13:06 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-09-27 13:06 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-09-27 13:06 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-09-27 13:06 <REP> d-------- C:\Program Files\Alwil Software

2007-09-27 07:03 <REP> d-------- C:\Program Files\Panda Security

2007-09-26 18:05 <REP> d--hs---- C:\found.000

2007-09-26 18:02 0 --a------ C:\WINDOWS\system32\ntkrpamp.exe

2007-09-26 18:02 0 --a------ C:\WINDOWS\system32\ntkrnlmp.exe

2007-09-26 16:31 388 --a------ C:\WINDOWS\urls.dat

2007-09-26 16:31 22,693 --a------ C:\WINDOWS\htmlcode.dat

2007-09-16 17:10 <REP> d-------- C:\DOCUME~1\ubu\APPLIC~1\WinRAR

2007-09-16 12:33 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\TomTom

2007-09-16 12:26 <REP> d-------- C:\DOCUME~1\ubu\APPLIC~1\InstallShield

2007-09-16 12:25 90,112 --a------ C:\WINDOWS\unvise32.exe

2007-09-16 11:07 <REP> d-------- C:\Program Files\TomTom DesktopSuite

2007-09-15 19:47 <REP> d-------- C:\DOCUME~1\ubu\APPLIC~1\.BitTornado

2007-09-15 19:42 <REP> d-------- C:\Program Files\BitTornado

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-29 13:21 --------- d-------- C:\Program Files\Wanadoo

2007-09-28 13:34 --------- d-------- C:\Program Files\Nvu

2007-09-28 13:34 --------- d-------- C:\Program Files\eMule

2007-09-28 12:58 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-09-27 18:00 --------- d-------- C:\Program Files\TomTom HOME

2007-09-27 18:00 --------- d-------- C:\Program Files\QuickTime

2007-09-27 17:59 --------- d-------- C:\Program Files\PhotoDeluxe HE 3.0

2007-09-27 17:55 86016 --a--c--- C:\WINDOWS\unvise32qt.exe

2007-09-27 17:55 83088 --a--c--- C:\WINDOWS\NSUninst.exe

2007-09-27 17:55 77824 --a------ C:\WINDOWS\SOUNDMAN.EXE

2007-09-27 17:55 724992 --a--c--- C:\WINDOWS\iun6002.exe

2007-09-27 17:55 55296 --a--c--- C:\WINDOWS\EasyPhoto Slide Show.scr

2007-09-27 17:55 50176 --a--c--- C:\WINDOWS\t05slvjg.exe

2007-09-27 17:55 306688 --a--c--- C:\WINDOWS\IsUninst.exe

2007-09-27 17:55 298496 --a--c--- C:\WINDOWS\unin040c.exe

2007-09-27 17:55 208896 --a--c--- C:\WINDOWS\alcupd.exe

2007-09-27 17:55 163840 --a--c--- C:\WINDOWS\UninstWiFi.exe

2007-09-27 17:55 139264 --a--c--- C:\WINDOWS\alcrmv.exe

2007-09-27 17:48 202240 --a--c--- C:\Program Files\lame.exe

2007-09-27 12:32 5120 --a------ C:\WINDOWS\SYSHOST.DLL

2007-09-26 16:32 402176 --a------ C:\WINDOWS\system32\drivers\tcpip.sys

2007-09-26 10:19 --------- d-------- C:\Program Files\Soulseek

2007-09-15 19:47 --------- d-------- C:\DOCUME~1\ubu\APPLIC~1\.BitTornado

2007-08-17 22:59 --------- d-------- C:\Program Files\Motorola Phone Tools

2007-08-17 22:58 --------- d-------- C:\Program Files\Avanquest update

2004-07-29 03:19 175104 --a--c--- C:\Program Files\lame_enc.dll

2004-03-23 06:57 30053 --a--c--- C:\Program Files\USAGE

2003-12-19 05:02 256 --a--c--- C:\Program Files\about

2002-01-19 16:52 1801 --a--c--- C:\Program Files\README

2000-12-19 13:16 707 --a--c--- C:\Program Files\LICENSE

2000-03-08 08:37 30 --a--c--- C:\Program Files\FILE_ID.DIZ

1999-11-24 13:40 25292 --a--c--- C:\Program Files\COPYING

.

C:\WINDOWS\system32\drivers\tcpip.sys ... is infected !! (additional data below)

359,808 2005-05-25 19:04:02 C:\WINDOWS\$hf_mig$\KB893066\SP2GDR\tcpip.sys

359,936 2005-05-25 19:07:12 C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys

360,448 2006-01-13 17:07:08 C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys

360,576 2006-04-20 12:18:35 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys

339,968 2005-05-25 19:41:10 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys

332,928 2002-08-28 23:58:12 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys.000

359,040 2004-08-04 06:14:40 C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys

332,928 2002-08-28 23:58:12 C:\WINDOWS\$NtUninstallKB893066_0$\tcpip.sys

359,808 2005-05-25 19:04:02 C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys

359,808 2006-01-13 02:28:14 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys

359,040 2004-08-04 06:14:40 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys

402,176 2007-09-26 14:32:00 C:\WINDOWS\system32\dllcache\tcpip.sys

402,176 2007-09-26 14:32:02 C:\WINDOWS\system32\drivers\tcpip.sys

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2007-09-27 17:55 C:\WINDOWS\SOUNDMAN.EXE]

"VIASetup"="C:\Documents and Settings\ubu\Local Settings\Temp\pftC~tmp\setup.exe" []

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 16:50]

"nwiz"="nwiz.exe" [2007-09-27 17:57 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 16:50]

"windows auto update"="" []

"Microsoft Inet Xp.."="" []

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-27 17:53]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-27 17:53]

"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2007-09-27 17:54]

"MRT"="C:\WINDOWS\system32\MRT.exe" [2007-09-27 17:57]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]

"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2007-09-27 17:54]

 

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\

Gamesurround Muse Pocket CPL.lnk - C:\Program Files\Hercules\Audio\Gamesurround Muse Pocket USB\SNXUACP.exe [2005-08-05 21:34:38]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Qhxwecq]

qhxwecq.dll 2005-08-22 12:42 62464 C:\WINDOWS\system32\Qhxwecq.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Notification Packages"= scecli scecli

 

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d11bd8f-6dad-11db-8085-4d6564696130}]

AutoRun\command- F:\InstallTomTomHOME.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0341dfc-4deb-11dc-8405-001556fa0e29}]

AutoRun\command- G:\InstallTomTomHOME.exe

 

*Newly Created Service* - ASWRDR

*Newly Created Service* - AVAST!_MAIL_SCANNER

*Newly Created Service* - AVAST!_WEB_SCANNER

.

Contents of the 'Scheduled Tasks' folder

"2007-09-25 22:00:00 C:\WINDOWS\Tasks\At1.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-27 07:00:00 C:\WINDOWS\Tasks\At10.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-26 08:00:00 C:\WINDOWS\Tasks\At11.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 09:00:01 C:\WINDOWS\Tasks\At12.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-29 10:00:00 C:\WINDOWS\Tasks\At13.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 11:00:00 C:\WINDOWS\Tasks\At14.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 12:00:00 C:\WINDOWS\Tasks\At15.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 13:00:01 C:\WINDOWS\Tasks\At16.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 14:00:00 C:\WINDOWS\Tasks\At17.job"

"2007-09-28 15:00:00 C:\WINDOWS\Tasks\At18.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 16:00:00 C:\WINDOWS\Tasks\At19.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 23:00:00 C:\WINDOWS\Tasks\At2.job"

"2007-09-28 17:00:00 C:\WINDOWS\Tasks\At20.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 18:00:00 C:\WINDOWS\Tasks\At21.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-26 19:00:00 C:\WINDOWS\Tasks\At22.job"

"2007-09-25 20:00:00 C:\WINDOWS\Tasks\At23.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-25 21:00:00 C:\WINDOWS\Tasks\At24.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-29 00:00:00 C:\WINDOWS\Tasks\At3.job"

"2007-09-29 01:00:00 C:\WINDOWS\Tasks\At4.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-29 02:00:00 C:\WINDOWS\Tasks\At5.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-26 03:00:00 C:\WINDOWS\Tasks\At6.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-26 04:00:00 C:\WINDOWS\Tasks\At7.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-28 05:00:00 C:\WINDOWS\Tasks\At8.job"

- C:\WINDOWS\system32\EOCa52D1.exe

"2007-09-27 06:00:00 C:\WINDOWS\Tasks\At9.job"

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-29 13:20:12

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

**************************************************************************

.

Completion time: 2007-09-29 13:22:51 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-09-29 13:22

.

--- E O F ---

[Gof]

Bonsoir kontroleur UBU

 

c'est un peu long, ma connection internet arrete pas de planter, et je pense que ça a un rapport avec cette saloperie de virus...

En effet, cela vient du fait qu'un fichier système indispensable à ta connexion est patché : tcpip.sys.

C'est à dire qu'une infection s'est greffée dessus. Ca va petre délicat de le traiter, car si on s'y prend mal, tu perdras ta connexion et tu te retrouveras tout seul face à ton pc.

 

En l'état ne fais pas d'analyses antivirus ou antimalware par toi même : si les outils le détectent comme infectieux et le suppriment ou le mettent en quarantaine, tu n'auras plus de connexion.

 

Plusieurs alternatives nous sont possibles :

• une restauration à une date antérieure : ne l'effectue pas, mais indique moi si tu as des points de restauration antérieurs à tous tes soucis ?
  
• Une réparation de ton système : il faut le cd windows. L'as-tu ?
  
• On tente de supprimer le fichier infecté pour le remplacer par un sain en console de récupération : l'avais tu installée ? Si non, le cd de windows sera nécessaire. Une nouvelle fois l'as-tu ?
  
• On démarre via un livecd pour remplacer le fichier infecté par un fichier sain : nécessite un gros téléchargement, de graver une image ISO sur un cd afin de rebooter ensuite dessus. Un peu compliqué à expliquer si tout cela ne te parle pas.
  

De toutes les alternatives, il est possible qu'aucune ne donne satisfaction. En ce cas, si elles ne sont pas concluantes car le système deviendrait vite instable, il est très possible qu'il faille envisager un formatage, ce qui te nécessitera de posséder un cd windows afin de réinstaller.

 

En attende de réponse à mes questions.