infection infection : au secours

Thanos · le 24 novembre 2007

J'ai bien reçu ton mp : Oublie pour le moment le fichier rem.reg comme je te disait.

Tu n'as pas vu les lignes que je t'ai demandé de fixer avec hijackthis : pas grave!

Passe à l'étape 3 (SDFix en mode sans échec) puis 4 (VundoFix) et enfin poste les rapports. Ensuite, relance ComboFix et poste aussi le rapport stp.

Etant donné que le scan avec SDFix se fait en mode sans échec et que tu n'auras pas accès à internet, je te conseille de copier/coller les instructions de la procédure dans un fichier texte pour pouvoir les consulter si nécéssaire.

Courage

rozo78 · le 24 novembre 2007

merci.

alors le rapport SDFix

SDFix: Version 1.115

Run by Pierre on 24/11/2007 at 23:43

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Pierre\Bureau\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

Trojan Files Found:

C:\X.DAT - Deleted

C:\Z.DAT - Deleted

C:\Documents and Settings\Pierre\x.dat - Deleted

C:\Documents and Settings\Pierre\z.dat - Deleted

C:\Documents and Settings\Pierre\f.exe - Deleted

C:\n.bat - Deleted

C:\winlogon.exe - Deleted

x.dat and z.dat data copied to \SDFix\Data.txt

Folder C:\WINDOWS\Fonts\' - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

et le Hitjackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:00:06, on 25/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\Rundll32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Photoshop Elements 4.0\apdproxy.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1EDB33D7-144C-449B-9E9B-E1F1FE1F1AF4} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6447127D-35D2-4B3A-B728-26D27D243A33} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ykszykbj.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: optimizer by rightonadz - {AB71E94E-3DC4-41eb-BBD5-31E82C9FD1D4} - C:\WINDOWS\system32\gzmrotate.dll

O2 - BHO: (no name) - {E898F6E2-A987-401F-BB82-285C34ACC66F} - (no file)

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar1.01.2607.0\fr\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ykszykbj.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Photoshop Elements 4.0\apdproxy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {17D72920-7A15-11D4-921E-0080C8DA7A5E} (AimSp32 Class) - http://www.stylist4all.com/IE20020716/save/makeover.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://rozo78.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/NET/Import/ImageUploader4.cab

O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.fr/downloads/BUM/B..._1/axofupld.cab

O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://62.201.137.56/mmawap/jsp/composer/p...r/mmsPlayer.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://securite.neuf.fr/Ols/fscax.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab

O20 - Winlogon Notify: ykszykbj - C:\WINDOWS\SYSTEM32\ykszykbj.dll

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--

End of file - 9627 bytes

je passe à l'étape vundoFix....à toute à l'heure !!! )

Thanos · le 24 novembre 2007

ok pour le rapport SDFix : il t'a débarrassé d'une des infections

En attente du rapport VundoFix puis ComboFix

Modifié le 24 novembre 2007 par charles ingals

rozo78 · le 24 novembre 2007

coucou,

alors j'ai lancé vundo 1 première fois et bien que tu m'aies prévenue que ça pouvait être assez long...c'était vraiment très long (mon pc a dû planter, le programme ne répondait plus).

J'ai relancé la machine et relancé vundo et là ça m'a dit qu'aucun fichier n'était infecté !!!

Et voici le rapport combofix :

ComboFix 07-11-19.3 - Pierre 2007-11-25 0:45:39.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.597 [GMT 1:00]

Running from: C:\Documents and Settings\Pierre\Local Settings\Temporary Internet Files\Content.IE5\W7YJAZC5\ComboFix[1].exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk

C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk

C:\Documents and Settings\Pierre\Bureau\Live Safety Center.lnk

C:\Documents and Settings\Pierre\Bureau\Online Security Guide.lnk

C:\Documents and Settings\Pierre\Favoris\Online Security Guide.lnk

.

((((((((((((((((((((((((((((( Fichiers créés 2007-10-24 to 2007-11-24 ))))))))))))))))))))))))))))))))))))

.

2007-11-25 00:05 <REP> d-------- C:\VundoFix Backups

2007-11-24 23:40 <REP> d-------- C:\WINDOWS\ERUNT

2007-11-21 22:55 773,301 ---hs---- C:\WINDOWS\system32\cokhutja.ini

2007-11-21 22:49 80,960 --a------ C:\WINDOWS\system32\jairtkxh.dll

2007-11-21 22:44 71,232 --a------ C:\WINDOWS\system32\iibdngvc.exe

2007-11-20 22:09 <REP> d-------- C:\Program Files\VideoLAN

2007-11-20 19:45 826,963 ---hs---- C:\WINDOWS\system32\hobbtpyp.ini

2007-11-20 12:52 74,752 --a------ C:\WINDOWS\system32\gzmrotate.dll

2007-11-19 19:39 828,141 ---hs---- C:\WINDOWS\system32\lifdwahl.ini

2007-11-19 19:37 83,008 --a------ C:\WINDOWS\system32\kfatroup.dll

2007-11-18 10:13 4,180 --a------ C:\WINDOWS\system32\tmp.reg

2007-11-18 10:13 0 --a------ C:\WINDOWS\system32\tmp.txt

2007-11-18 09:27 71,232 --a------ C:\WINDOWS\system32\gavhtkaw.exe

2007-11-17 23:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2007-11-17 23:06 <REP> d-------- C:\WINDOWS\Internet Logs

2007-11-17 22:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2007-11-17 22:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-11-17 22:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles

2007-11-17 22:47 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2007-11-17 22:47 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2007-11-17 22:47 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2007-11-17 22:47 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2007-11-17 22:00 82,496 --a------ C:\WINDOWS\system32\qktfioqy.dll

2007-11-17 21:57 678,621 ---hs---- C:\WINDOWS\system32\pnovhclv.ini

2007-11-17 21:51 71,232 --a------ C:\WINDOWS\system32\muprcnnq.exe

2007-11-17 08:23 36,352 --a------ C:\WINDOWS\system32\hgghecd.dll

2007-11-16 21:33 143 --a------ C:\WINDOWS\system32\mcrh.tmp

2007-11-16 15:58 36,352 --a------ C:\WINDOWS\system32\fccywus.dll

2007-11-15 20:34 36,352 --a------ C:\WINDOWS\system32\rqrqqqo.dll

2007-11-11 21:54 <REP> d-------- C:\Documents and Settings\Photos\anniversaire mamie dd 2007

2007-11-11 16:53 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll

2007-11-11 13:07 <REP> d-------- C:\Documents and Settings\Pierre\Application Data\Zylom

2007-11-11 13:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom

2007-11-10 22:03 78,052 -ra------ C:\WINDOWS\system32\KOSHZ___.TTF

2007-11-10 22:03 71,324 -ra------ C:\WINDOWS\system32\KOSHB___.TTF

2007-11-10 22:03 69,592 -ra------ C:\WINDOWS\system32\KOSHI___.TTF

2007-11-10 22:03 64,764 -ra------ C:\WINDOWS\system32\KELTWI__.TTF

2007-11-10 22:03 62,668 -ra------ C:\WINDOWS\system32\KOSHR___.TTF

2007-11-10 22:03 61,540 -ra------ C:\WINDOWS\system32\KELTWBI_.TTF

2007-11-10 22:03 58,356 -ra------ C:\WINDOWS\system32\KELTWN__.TTF

2007-11-10 22:03 57,068 -ra------ C:\WINDOWS\system32\KELTWB__.TTF

2007-11-10 22:02 65,941 -ra------ C:\WINDOWS\system32\MLSEE.TTF

2007-11-10 22:02 65,155 -ra------ C:\WINDOWS\system32\MLSEG.TTF

2007-11-10 22:02 64,585 -ra------ C:\WINDOWS\system32\MLSEF.TTF

2007-11-10 22:02 63,892 -ra------ C:\WINDOWS\system32\MLSEH.TTF

2007-11-10 22:01 63,276 -ra------ C:\WINDOWS\system32\FLATBEBI.TTF

2007-11-10 22:01 61,636 -ra------ C:\WINDOWS\system32\FLATBEI_.TTF

2007-11-10 22:01 60,756 -ra------ C:\WINDOWS\system32\FLATBEB_.TTF

2007-11-10 22:01 57,972 -ra------ C:\WINDOWS\system32\FLATBEN_.TTF

2007-11-10 22:01 48,432 -ra------ C:\WINDOWS\system32\MLSJB.TTF

2007-11-10 21:53 75,520 -ra------ C:\WINDOWS\system32\VALHI___.TTF

2007-11-10 21:53 71,792 -ra------ C:\WINDOWS\system32\VALHN___.TTF

2007-11-10 21:53 70,784 -ra------ C:\WINDOWS\system32\VALHBI__.TTF

2007-11-10 21:53 67,884 -ra------ C:\WINDOWS\system32\VALHB___.TTF

2007-11-10 21:53 64,324 -ra------ C:\WINDOWS\system32\UPPERR__.TTF

2007-11-10 21:51 77,304 -ra------ C:\WINDOWS\system32\SNOWCAPS.TTF

2007-11-10 21:51 62,256 -ra------ C:\WINDOWS\system32\SCROI___.TTF

2007-11-10 21:51 59,680 -ra------ C:\WINDOWS\system32\SCROBI__.TTF

2007-11-10 21:51 56,620 -ra------ C:\WINDOWS\system32\SCRON___.TTF

2007-11-10 21:51 54,936 -ra------ C:\WINDOWS\system32\SCROB___.TTF

2007-11-10 21:51 41,248 -ra------ C:\WINDOWS\system32\SHADER__.TTF

2007-11-10 21:51 25,200 -ra------ C:\WINDOWS\system32\SLASHR__.TTF

2007-11-10 21:50 108,212 -ra------ C:\WINDOWS\system32\RASP____.TTF

2007-11-10 21:50 80,760 -ra------ C:\WINDOWS\system32\RASPI___.TTF

2007-11-10 21:50 65,692 -ra------ C:\WINDOWS\system32\MLSGY.TTF

2007-11-10 21:50 61,076 -ra------ C:\WINDOWS\system32\RACEI___.TTF

2007-11-10 21:50 59,092 -ra------ C:\WINDOWS\system32\RACEBI__.TTF

2007-11-10 21:50 54,620 -ra------ C:\WINDOWS\system32\RACEN___.TTF

2007-11-10 21:50 53,740 -ra------ C:\WINDOWS\system32\RACEB___.TTF

2007-11-10 21:50 41,528 -ra------ C:\WINDOWS\system32\PRAWNHN.TTF

2007-11-10 21:45 87,548 -ra------ C:\WINDOWS\system32\PALAN___.TTF

2007-11-10 21:45 86,644 -ra------ C:\WINDOWS\system32\PALAI___.TTF

2007-11-10 21:43 248,760 -ra------ C:\WINDOWS\system32\LINENSTR.TTF

2007-11-10 21:43 74,772 -ra------ C:\WINDOWS\system32\LIBEN___.TTF

2007-11-10 21:43 71,072 -ra------ C:\WINDOWS\system32\LIBEB___.TTF

2007-11-10 21:42 160,180 -ra------ C:\WINDOWS\system32\HOTTAML.TTF

2007-11-10 21:42 67,052 -ra------ C:\WINDOWS\system32\KEYSTR__.TTF

2007-11-10 21:42 56,276 -ra------ C:\WINDOWS\system32\HANDSLR.TTF

2007-11-10 21:40 60,208 -ra------ C:\WINDOWS\system32\FLETEBI_.TTF

2007-11-10 21:39 60,084 -ra------ C:\WINDOWS\system32\FLETBI__.TTF

2007-11-10 21:39 55,764 -ra------ C:\WINDOWS\system32\FLETB___.TTF

2007-11-10 21:39 42,548 -ra------ C:\WINDOWS\system32\ELMORE.TTF

2007-11-10 21:39 29,236 -ra------ C:\WINDOWS\system32\FAIRY.TTF

2007-11-10 21:38 64,360 -ra------ C:\WINDOWS\system32\MLSIG.TTF

2007-11-10 21:37 100,612 -ra------ C:\WINDOWS\system32\COWBOZ__.TTF

2007-11-10 21:37 94,096 -ra------ C:\WINDOWS\system32\COWBOI__.TTF

2007-11-10 21:37 89,432 -ra------ C:\WINDOWS\system32\COWBOB__.TTF

2007-11-10 21:37 83,036 -ra------ C:\WINDOWS\system32\COWBOR__.TTF

2007-11-10 21:36 57,304 -ra------ C:\WINDOWS\system32\MLSIY.TTF

2007-11-10 21:35 86,856 -ra------ C:\WINDOWS\system32\BARTI___.TTF

2007-11-10 21:35 84,576 -ra------ C:\WINDOWS\system32\BARTN___.TTF

2007-11-10 21:35 82,996 -ra------ C:\WINDOWS\system32\BARTBI__.TTF

2007-11-10 21:35 81,312 -ra------ C:\WINDOWS\system32\BARTB___.TTF

2007-11-10 21:35 73,688 -ra------ C:\WINDOWS\system32\BEESB___.TTF

2007-11-10 21:35 71,236 -ra------ C:\WINDOWS\system32\BEESN___.TTF

2007-11-10 21:35 59,904 -ra------ C:\WINDOWS\system32\BERNIZ__.TTF

2007-11-10 21:35 53,372 -ra------ C:\WINDOWS\system32\BERNIB__.TTF

2007-11-10 21:35 51,728 -ra------ C:\WINDOWS\system32\BERNII__.TTF

2007-11-10 21:35 47,004 -ra------ C:\WINDOWS\system32\BERNIR__.TTF

2007-11-10 21:34 87,388 -ra------ C:\WINDOWS\system32\AMAZZ___.TTF

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-21 21:55 85,056 ----a-w C:\WINDOWS\system32\ajtuhkoc.dll

2007-11-20 18:48 84,544 ----a-w C:\WINDOWS\system32\srbbabye.dll

2007-11-20 18:33 71,232 ----a-w C:\WINDOWS\system32\dqmamegg.exe

2007-11-20 16:34 40,733 ----a-w C:\WINDOWS\system32\rightonadz-uninst.exe

2007-11-19 18:31 71,232 ----a-w C:\WINDOWS\system32\dokbnvjg.exe

2007-11-18 20:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2007-11-18 10:56 --------- d-----w C:\Program Files\Trend Micro

2007-11-17 20:48 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Roxio

2007-11-17 07:47 --------- d-----w C:\Program Files\Boonty

2007-11-17 07:39 19,834 ----a-w C:\WINDOWS\Prefetch\vundo.exe

2007-11-16 16:52 79,875 ----a-w C:\WINDOWS\system32\adssite-remove.exe

2007-11-16 15:57 --------- d-----w C:\Documents and Settings\Pierre\Application Data\PlayFirst

2007-11-10 20:00 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-10-13 11:43 --------- d-----w C:\Program Files\iTunes

2007-10-13 11:43 --------- d-----w C:\Program Files\iPod

2007-10-13 11:41 --------- d-----w C:\Program Files\QuickTime

2007-10-13 11:38 --------- d-----w C:\Program Files\Fichiers communs\Apple

2007-10-13 11:36 --------- d-----w C:\Program Files\Apple Software Update

2007-10-13 11:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple

2007-10-12 13:55 --------- d-----w C:\Program Files\Fichiers communs\xing shared

2007-09-30 20:19 --------- d-----w C:\Program Files\Windows Media Connect 2

2007-09-30 18:35 25,839,688 ----a-w C:\Documents and Settings\COMPTABILITE\wmp11-windowsxp-x86-FR-FR.exe

2007-09-14 12:24 364 ----a-w C:\drmHeader.bin

2007-09-11 18:01 39,881 ----a-w C:\WINDOWS\system32\gzmrot-uninst.exe

2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr

.

((((((((((((((((((((((((((((( snapshot@2007-11-22_20.32.01.50 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-11-23 12:11:56 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

+ 2007-11-24 22:40:40 5,910,528 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat

+ 2007-11-24 22:40:41 245,760 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat

+ 2007-11-23 12:11:56 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE

+ 2007-11-24 22:40:27 5,910,528 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat

+ 2007-11-24 22:40:27 245,760 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat

+ 2007-11-24 23:29:43 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_694.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1EDB33D7-144C-449B-9E9B-E1F1FE1F1AF4}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6447127D-35D2-4B3A-B728-26D27D243A33}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB71E94E-3DC4-41eb-BBD5-31E82C9FD1D4}]

2007-11-20 12:52 74752 --a------ C:\WINDOWS\system32\gzmrotate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E898F6E2-A987-401F-BB82-285C34ACC66F}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 06:36 C:\WINDOWS\RTHDCPL.exe]

"NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" [2005-12-10 03:06 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 17:35]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

"Sunkist2k"="C:\Program Files\Multimedia Card Reader\shwicon2k.exe" [2004-09-03 17:16]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]

"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-05-01 17:44]

"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2003-07-16 23:19]

"RoxioAudioCentral"="C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" [2003-07-15 11:36]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]

"Adobe Photo Downloader"="C:\Program Files\Photoshop Elements 4.0\apdproxy.exe" [2005-09-09 00:18]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-10-12 14:54]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 13:42]

"hid_start"="C:\WINDOWS\System32\Rundll32.exe" [2004-08-05 13:00]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-03-26 20:54:21]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]

R1 DVDVRRdr_xp;DVDVRRdr_xp;C:\WINDOWS\system32\drivers\DVDVRRdr_xp.sys

R3 PAC207;SoC PC-Camera Beta3;C:\WINDOWS\system32\DRIVERS\pfc027.sys

R3 SunkFilt62;Alcor Micro Corp - 6362;\??\C:\WINDOWS\System32\Drivers\sunkfilt62.sys

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe

S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys

S3 SunkFilt6;Alcor Micro Corp - 6360;\??\C:\WINDOWS\System32\Drivers\sunkfilt6.sys

S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-11-16 16:22:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-25 00:46:59

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-11-25 0:47:24

C:\ComboFix2.txt ... 2007-11-22 20:32

.

--- E O F ---

Qu'en penses-tu ?

Suis-je guérie ? pour l'instant les virus ne se manifestent pas...sont-ils éradiqués ???

Thanos · le 25 novembre 2007

Il y a encore du boulot mais il ya du mieux

Je vais te préparer un script à utiliser avec ComboFix.

Dans le dossier C:\SDFix, il y a un fichier qui se nomme >Data.txt, est ce que tu veux bien me poster son contenu ?

Par contre ne le poste pas dans ton prochain message, mais par MP! (il est possible qu'il contienne des mots de passe!)

@ tard

Thanos · le 25 novembre 2007

Voici la suite des opérations rozo78 >

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/sp9i0m

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

A présent que tu connais le contenu du fichier Data.txt, je te conseille de changer tous les mots de passe qui y figurent. Il n'est pas impossible que ces mots de passe aient été trannsmis, aussi, par précaution, modifie les!

Edit: il y a sur ton bureau un fichier nommé Upload_Me.zip > il s'agit de fichiers qui ont été zippés par le logiciel MSNFix qui a nettoyé l'infection MSN. Expédie ce fichier à l'auteur afin qu'il l' analyse stp >

Rend toi sur ce site> http://upload.changelog.fr/

Dans la case Pseudo met ton pseudo (rozo78)

A droite de URL de référence met l'adresse de ton topic > http://forum.zebulon.fr/index.php?showtopic=133991&st=15

A droite de Sélectionnez le fichier à envoyer clique sur le bouton Parcourir

tu vas pouvoir naviguer sur ton disque dur: sélectionne le fichier Upload_Me.zip puis cliques sur Ouvrir.

Clique enfin sur le bouton Envoyer en bas de page pour l'expédier.

C'est important car ca permet de mettre la main sur de nouvelles variantes, et ainsi contribuer à rendre l'outil plus efficace. Ca ne prend que qeulques secondes

Modifié le 25 novembre 2007 par charles ingals

rozo78 · le 25 novembre 2007

voici le dernier rapport :

ComboFix 07-11-19.3 - Pierre 2007-11-25 1:23:35.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.669 [GMT 1:00]

Running from: C:\Documents and Settings\Pierre\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Pierre\Bureau\CFScript.txt

* Created a new restore point

FILE

C:\WINDOWS\system32\adssite-remove.exe

C:\WINDOWS\system32\ajtuhkoc.dll

C:\WINDOWS\system32\cokhutja.ini

C:\WINDOWS\system32\dokbnvjg.exe

C:\WINDOWS\system32\dqmamegg.exe

C:\WINDOWS\system32\fccywus.dll

C:\WINDOWS\system32\gavhtkaw.exe

C:\WINDOWS\system32\gzmrot-uninst.exe

C:\WINDOWS\system32\gzmrotate.dll

C:\WINDOWS\system32\hgghecd.dll

C:\WINDOWS\system32\hobbtpyp.ini

C:\WINDOWS\system32\iibdngvc.exe

C:\WINDOWS\system32\jairtkxh.dll

C:\WINDOWS\system32\kfatroup.dll

C:\WINDOWS\system32\lifdwahl.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\muprcnnq.exe

C:\WINDOWS\system32\pnovhclv.ini

C:\WINDOWS\system32\qktfioqy.dll

C:\WINDOWS\system32\rightonadz-uninst.exe

C:\WINDOWS\system32\rqrqqqo.dll

C:\WINDOWS\system32\srbbabye.dll

.