Trojan.ZIOB.BYQ et BYG(Résolu)

[Binie]

Bonjour,

j'ai fait le scan avec Kaspersky qui me dit que le sustème est propre mais Bitdefender trouve toujours le Trojan. je ne comprend pas.

 

voila les deux rapport:Sunday, December 16, 2007 9:54:47 AM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 16/12/2007

Kaspersky Anti-Virus database records: 483937

 

 

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

 

Scan Statistics

Total number of scanned objects 52452

Number of viruses found 0

Number of infected objects 0

Number of suspicious objects 0

Duration of the scan process 00:28:47

 

Infected Object Name Virus Name Last Action

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

 

C:\Documents and Settings\sabine\Application Data\Bitdefender\Desktop\Profiles\asdict.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Cookies\index.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Historique\History.IE5\MSHist012007121620071217\index.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Temp\JET59B8.tmp Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe Object is locked skipped

 

C:\Documents and Settings\sabine\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\sabine\ntuser.dat.LOG Object is locked skipped

 

C:\Program Files\Fichiers communs\Softwin\BitDefender Firewall\bdfirewall.txt Object is locked skipped

 

C:\Program Files\Softwin\BitDefender10\aspdict.dat Object is locked skipped

 

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

 

C:\System Volume Information\_restore{F42A0466-0A4F-457F-BDEB-5681AD6B49A3}\RP82\change.log Object is locked skipped

 

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

 

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

 

C:\WINDOWS\Sti_Trace.log Object is locked skipped

 

C:\WINDOWS\system32\bdss.log Object is locked skipped

 

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\default Object is locked skipped

 

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

 

C:\WINDOWS\system32\config\SAM Object is locked skipped

 

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\software Object is locked skipped

 

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\system Object is locked skipped

 

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

 

C:\WINDOWS\system32\h323log.txt Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

 

C:\WINDOWS\Temp\tmp000017e4\tmp00000000 Object is locked skipped

 

C:\WINDOWS\wiadebug.log Object is locked skipped

 

C:\WINDOWS\wiaservc.log Object is locked skipped

 

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

 

Scan process completed.

 

 

 

//-----------------------------------------------------------------

//

// ProduitBitDefender Internet Security v10

// Produit10.2

//

// Créé le: 16/12/2007 09:55:33

//

//-----------------------------------------------------------------

 

 

Statistiques

 

Chemin cible: C:\

Dossiers : 1162

Fichiers : 32761

Processus Mémoire analysés : 33

Archives : 296

Fichiers enpaquetés : 1778

Virus trouvés : 2

Fichiers infectés : 2

Processus Mémoire infectés : 0

Fichiers suspects : 0

Alertes : 0

Fichiers désinfectés : 0

Fichiers effacés : 0

Fichiers déplacés : 0

Erreurs I/O : 15

Temps d'analyse :=00:05:59

Fichiers/seconde :91

 

Statistiques Spywares

 

Registres analysés : 284

Registres infectés : 0

Cookies analysés : 19

Cookies infectés : 0

Fichiers spyware infectés : 0

Menaces Spyware détectées : 0

 

 

Définitions virus : 960331

Plugins d'analyse : 16

Plugins archives : 41

Plug-ins décompression : 7

Plug-ins messagerie : 6

Plug-ins système : 5

 

Options d'analyse

 

Détection

[X] Analyser le secteur de boot

[X] Processus mémoire

[X] Analyser les archives

[X] Analyser les fichiers enpaquetés

[X] Analyser la messagerie

 

Masque fichiers

[ ] Programmes

[X] Tous les fichiers

[ ] Extensions définies par l'utilisateur:

[ ] Exclure les extensions: ;

 

Action

 

Objets infectés

[ ] Ignorer

[X] Désinfecter

[ ] Effacer

[ ] Mettre en quarantaine

[ ] Demander l'action

 

Seconde action

[ ] Ignorer

[ ] Effacer

[X] Mettre en quarantaine

[ ] Demander l'action

 

Options d'analyse

[X] Activer les alertes

[X] Activer l'heuristique

[ ] Afficher tous les fichiers dans le journal

[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\deep_scan\1197795333.log

 

Options d'analyse Spyware

 

[X] Analyse contre les risques non-viraux

[ ] Ecarter de l'analyse les dialers et les applications

[X] Clés de registres

[X] Cookies

 

 

Résumé:

 

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe=>(NSIS o)=>bzip2_nsis0000 Infecté: Trojan.Zlob.BYQ

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe=>(NSIS o)=>bzip2_nsis0000 Désinfection impossible

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe=>(NSIS o)=>bzip2_nsis0000 Déplacement impossible

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe=>(NSIS o)=>bzip2_nsis0009=>(NSIS g)=>bzip2_nsis0000 Infecté: Trojan.Zlob.BYP

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe=>(NSIS o)=>bzip2_nsis0009=>(NSIS g)=>bzip2_nsis0000 Désinfection impossible

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe=>(NSIS o)=>bzip2_nsis0009=>(NSIS g)=>bzip2_nsis0000 Déplacement impossible

[bruce lee]

Bonjour,

• Télécharge OTMoveIt de OldTimer.
  
• Sauvegarde le sur ton Bureau.
  
• Double-Clique sur OTMoveIt.exe pour le lancer.
  
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
  

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
  

Poste moi le rapport de OTMoveIT disponible ici : C:\_OTMoveIt\MovedFiles.

 

 

===============================================

 

• Lance OTmoveIT.
  
• Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
  NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
  
• Une liste apparait dans la partie gauche d'OTmoveIT.
  
• Un message apparait pour confirmer le nettoyage. Confirme.
  

As-tu encore des alertes de BitDefender?

[Binie]

Created on 12/16/2007 18:21:06

File/Folder C:\avenger.zip not found.

File/Folder C:\Avenger not found.

File/Folder C:\avenger.txt not found.

File/Folder C:\bfu.zip not found.

File/Folder C:\BFU not found.

File/Folder C:\combofix.exe not found.

File/Folder C:\QooBox not found.

C:\ComboFix*.txt moved successfully.

C:\ComboFix*.txt moved successfully.

File move failed. C:\Documents and Settings\sabine\Desktop\ComboFix*.txt scheduled to be moved on reboot.

C:\WINDOWS\ComboFix*.txt moved successfully.

C:\WINDOWS\system32\ComboFix*.txt moved successfully.

C:\WINDOWS\system32\drivers\ComboFix*.txt moved successfully.

File/Folder C:\catchme.exe not found.

File/Folder C:\nircmd.exe not found.

File/Folder C:\swreg.exe not found.

File/Folder C:\Swxcacls.exe not found.

File/Folder C:\Swsc.exe not found.

File/Folder C:\dss.exe not found.

File/Folder C:\Deckard not found.

File/Folder C:\FindAWF.exe not found.

File/Folder C:\AWF.txt not found.

File/Folder C:\fixwareout.exe not found.

File/Folder C:\fixwareout not found.

File/Folder C:\fsbl.exe not found.

C:\fsbl*.log moved successfully.

C:\fsbl*.log moved successfully.

File move failed. C:\Documents and Settings\sabine\Desktop\fsbl*.log scheduled to be moved on reboot.

C:\WINDOWS\fsbl*.log moved successfully.

C:\WINDOWS\system32\fsbl*.log moved successfully.

C:\WINDOWS\system32\drivers\fsbl*.log moved successfully.

File/Folder C:\gmer.exe not found.

File/Folder C:\gmer.dll not found.

File/Folder C:\gmer.ini not found.

File/Folder C:\gmer.log not found.

File/Folder C:\gmer_uninstall.cmd not found.

File/Folder C:\gmer.sys not found.

Unable to delete service gmer.

File/Folder C:\haxfix.exe not found.

File/Folder C:\haxfix.txt not found.

File/Folder C:\killbox.exe not found.

File/Folder C:\!Killbox not found.

File/Folder C:\NoLop.exe not found.

File/Folder C:\NoLop.txt not found.

File/Folder C:\NoLopOLD.txt not found.

File/Folder C:\delete.bat not found.

File/Folder C:\OTMoveIt.exe not found.

File/Folder C:\_OTMoveIt not found.

File/Folder C:\rustbfix.exe not found.

File/Folder C:\Rustbfix not found.

File/Folder C:\sdfix.exe not found.

File/Folder C:\SDFix not found.

File/Folder C:\SmitfraudFix.exe not found.

File/Folder C:\SmitfraudFix not found.

File/Folder C:\rapport.txt not found.

File/Folder C:\SysInsite not found.

File/Folder C:\VundoFix.exe not found.

File/Folder C:\VundoFix Backups not found.

File/Folder C:\vundofix.txt not found.

File/Folder C:\vundofix.vft not found.

File/Folder C:\win32delfkil.exe not found.

File/Folder C:\_backupD not found.

File/Folder C:\windelf.txt not found.

File/Folder C:\winpfind.exe not found.

File/Folder C:\WinPfind not found.

File/Folder C:\winpfind3u.exe not found.

File/Folder C:\WinPFind3u not found.

C:\cleanup.txt moved successfully.

File move failed. C:\Documents and Settings\sabine\Bure

[Binie]

J'ai toujours des alertes Bitdefender, notament quand j'ai lancer Kaspersky et et avg et aussi toute à l'heure avec OtmoveIT.

Quand je cherche le fichier en question: C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe, je ne le trouve pas par le chemin : poste de travail etc. , je suis obligé de faire une recherche pour le trouver, il n'est pas dans les tempory internet files.

[bruce lee]

Re,

 

Tu ne m'as pas posté le premier rapport de OTMoveIT...

• Télécharge OTMoveIt de OldTimer.
  
• Sauvegarde le sur ton Bureau.
  
• Double-Clique sur OTMoveIt.exe pour le lancer.
  
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
  

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt.
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
  

Poste moi le rapport de OTMoveIT disponible ici : C:\_OTMoveIt\MovedFiles.

[Binie]

ça ne marche pas, j'arrive à sélectionner tout dans tempory intenet files , mais après je ne peu pas les coller , impossible.

quand je clique sur moveit j'ai le message suivant

 

OTMoveIt

---------------------------

Cannot create file C:\_OTMoveIt\MovedFiles\12172007_082441.log.

---------------------------

OK

 

 

je ne trouve pas manuellement le fameu C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe, je suis obligé de le cherché par recherche et même la je ne peu pas le copeir dans le MOveit.

[bruce lee]

Re,

 

1. Télécharge combofix.exe (par sUBs) ici :

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

 

sur ton Bureau.

 

2. Double clique sur combofix.exe puis tape 1 pour lancer le scan.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

[Binie]

ComboFix 07-12-16.4 - sabine 2007-12-17 9:25:34.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.593 [GMT 1:00]

Running from: C:\Documents and Settings\sabine\Bureau\ComboFix.exe

* Created a new restore point

.

The following files were disabled during the run:

C:\WINDOWS\system32\sockspy.dll

 

 

((((((((((((((((((((((((((((( Fichiers créés 2007-11-17 to 2007-12-17 ))))))))))))))))))))))))))))))))))))

.

 

2007-12-17 09:11 . 2007-12-17 09:11 8,192 --ahs---- C:\WINDOWS\Thumbs.db

2007-12-17 08:59 . 2007-12-17 09:18 <REP> d-------- C:\Program Files\Enigma Software Group

2007-12-16 19:33 . 2007-12-16 19:33 <REP> d-------- C:\Documents and Settings\sabine\Application Data\Grisoft

2007-12-16 19:33 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-12-14 20:52 . 2007-12-14 20:52 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-12-14 20:52 . 2007-12-14 20:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2007-12-14 19:33 . 2007-12-14 19:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-12-13 21:49 . 2007-12-13 21:49 2,610 --a------ C:\WINDOWS\system32\tmp.reg

2007-12-13 21:48 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2007-12-13 21:48 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-12-13 21:48 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-12-13 21:48 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-12-13 21:48 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2007-12-13 19:36 . 2007-12-13 19:42 <REP> d-------- C:\Program Files\Hijack this

2007-12-13 18:58 . 2007-12-13 19:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-11-27 19:51 . 2007-11-27 19:51 <REP> d-------- C:\LiveUpdate_Temp

2007-11-26 20:40 . 2007-11-26 20:40 532,480 --a------ C:\WINDOWS\system32\ReyXp.ocx

2007-11-26 20:40 . 2007-11-26 20:40 152,848 --a------ C:\WINDOWS\system32\comdlg32.ocx

2007-11-26 20:40 . 2007-11-26 20:40 140,288 --a------ C:\WINDOWS\system32\dialogg.ocx

2007-11-26 20:40 . 2007-11-26 20:40 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX

2007-11-26 20:40 . 2007-11-26 20:40 98,304 --a------ C:\WINDOWS\system32\Rey_SubClasser.dll

2007-11-26 20:35 . 2007-11-26 20:48 <REP> d-------- C:\Program Files\MSN Messenger

2007-11-26 20:28 . 2007-11-26 20:28 <REP> d--h----- C:\WINDOWS\PIF

2007-11-26 20:18 . 2007-11-26 20:18 268 --ah----- C:\sqmdata05.sqm

2007-11-26 20:18 . 2007-11-26 20:18 244 --ah----- C:\sqmnoopt05.sqm

2007-11-26 18:34 . 2007-11-26 20:19 <REP> d-------- C:\Program Files\Windows Live

2007-11-26 18:30 . 2006-08-01 08:02 49,152 -r------- C:\WINDOWS\system32\ChCfg.exe

2007-11-26 18:29 . 2006-12-16 04:29 499,712 -r------- C:\WINDOWS\RtlExUpd.dll

2007-11-26 18:26 . 2007-11-26 18:28 <REP> d-------- C:\Program Files\FOXCONN

2007-11-26 18:14 . 2007-11-26 18:14 13,646 --a------ C:\WINDOWS\system32\wpa.bak

2007-11-26 18:02 . 2007-11-26 18:02 268 --ah----- C:\sqmdata04.sqm

2007-11-26 18:02 . 2007-11-26 18:02 244 --ah----- C:\sqmnoopt04.sqm

2007-11-26 17:59 . 2007-11-26 17:59 172 --ah----- C:\sqmnoopt03.sqm

2007-11-26 17:59 . 2007-11-26 17:59 172 --ah----- C:\sqmdata03.sqm

2007-11-26 15:13 . 2007-11-26 15:13 268 --ah----- C:\sqmdata02.sqm

2007-11-26 15:13 . 2007-11-26 15:13 244 --ah----- C:\sqmnoopt02.sqm

2007-11-26 14:59 . 2007-11-26 14:59 <REP> d-------- C:\Documents and Settings\sabine\Application Data\EPSON

2007-11-26 09:03 . 2007-11-26 09:03 268 --ah----- C:\sqmdata01.sqm

2007-11-26 09:03 . 2007-11-26 09:03 244 --ah----- C:\sqmnoopt01.sqm

2007-11-26 09:02 . 2007-10-04 17:14 136,260 --a------ C:\WINDOWS\system32\nvapps.nvb

2007-11-26 09:01 . 2007-11-26 09:04 <REP> d-------- C:\WINDOWS\NV38161612.TMP

2007-11-26 09:00 . 2007-10-04 18:16 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE

2007-11-26 08:58 . 2007-11-26 08:58 <REP> d-------- C:\NVIDIA

2007-11-26 08:37 . 2007-11-26 08:37 <REP> d-------- C:\Program Files\SystemRequirementsLab

2007-11-25 09:13 . 2007-11-26 21:17 <REP> d-------- C:\WINDOWS\system32\fr-fr

2007-11-22 21:43 . 2007-11-10 12:20 <REP> d--h----- C:\Documents and Settings\nicolas\Voisinage réseau

2007-11-22 21:43 . 2007-11-10 12:20 <REP> d--h----- C:\Documents and Settings\nicolas\Voisinage d'impression

2007-11-22 21:43 . 2007-11-10 11:26 <REP> d--h----- C:\Documents and Settings\nicolas\Modèles

2007-11-22 21:43 . 2007-11-22 21:43 <REP> dr------- C:\Documents and Settings\nicolas\Mes documents

2007-11-22 21:43 . 2007-11-10 12:20 <REP> dr------- C:\Documents and Settings\nicolas\Menu Démarrer

2007-11-22 21:43 . 2007-11-22 21:43 <REP> dr------- C:\Documents and Settings\nicolas\Favoris

2007-11-22 21:43 . 2007-11-10 12:20 <REP> d-------- C:\Documents and Settings\nicolas\Bureau

2007-11-22 21:43 . 2007-11-22 21:43 <REP> d-------- C:\Documents and Settings\nicolas\Application Data\Bitdefender

2007-11-19 08:42 . 2007-11-26 18:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WindowsLiveInstaller

2007-11-18 17:24 . 2007-11-18 17:24 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition

2007-11-18 17:24 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll

2007-11-18 10:04 . 2007-11-18 10:04 <REP> d-------- C:\Documents and Settings\sabine\Application Data\vlc

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-17 08:25 81,984 ----a-w C:\WINDOWS\system32\bdod.bin

2007-11-26 17:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2007-11-26 17:29 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-11-26 17:29 --------- d-----w C:\Program Files\Realtek

2007-11-14 15:13 --------- d-----w C:\Documents and Settings\fred\Application Data\Bitdefender

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-11-11 17:51 --------- d-----w C:\Program Files\Microsoft.NET

2007-11-11 17:23 --------- d-----w C:\Program Files\Google

2007-11-11 17:21 --------- d-----w C:\Program Files\Microsoft Money

2007-11-11 15:51 --------- d-----w C:\Documents and Settings\eric\Application Data\Bitdefender

2007-11-11 11:27 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2007-11-11 10:49 --------- d-----w C:\Program Files\IncrediMail

2007-11-10 19:24 --------- d-----w C:\Program Files\VideoLAN

2007-11-10 19:08 --------- d-----w C:\Program Files\Norman

2007-11-10 19:01 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2007-11-10 18:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL

2007-11-10 18:57 --------- d-----w C:\Program Files\EPSON

2007-11-10 18:57 --------- d-----w C:\Program Files\ABBYY FineReader 6.0 Sprint

2007-11-10 18:39 --------- d-----w C:\Program Files\InterVideo

2007-11-10 18:39 --------- d-----w C:\Program Files\Common Files

2007-11-10 18:35 --------- d-----w C:\Program Files\Real

2007-11-10 18:35 --------- d-----w C:\Program Files\Fichiers communs\xing shared

2007-11-10 18:35 --------- d-----w C:\Program Files\Fichiers communs\Real

2007-11-10 18:26 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2007-11-10 18:10 --------- d-----w C:\Program Files\Intel

2007-11-10 18:04 913,408 ----a-w C:\WINDOWS\system32\xreglib.dll

2007-11-10 18:04 71,040 ----a-w C:\WINDOWS\system32\drivers\bdfndisf.sys

2007-11-10 18:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\BitDefender

2007-11-10 11:20 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines

2007-11-10 11:20 --------- d-----w C:\Program Files\Fichiers communs\ODBC

2007-11-10 11:00 --------- d-----w C:\Program Files\Neuf

2007-11-10 10:46 --------- d-----w C:\Documents and Settings\sabine\Application Data\Bitdefender

2007-11-10 10:30 --------- d-----w C:\Program Files\microsoft frontpage

2007-11-10 10:28 --------- d-----w C:\Program Files\Services en ligne

2007-11-10 10:28 --------- d-----w C:\Program Files\Fichiers communs\MSSoap

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR

2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll

2007-10-04 16:14 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll

2007-10-04 16:14 8,491,008 ----a-w C:\WINDOWS\system32\nvcpl.dll

2007-10-04 16:14 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe

2007-10-04 16:14 6,750,208 ----a-w C:\WINDOWS\system32\nvoglnt.dll

2007-10-04 16:14 6,344,704 ----a-w C:\WINDOWS\system32\nvdisps.dll

2007-10-04 16:14 5,783,424 ----a-w C:\WINDOWS\system32\nv4_disp.dll

2007-10-04 16:14 5,509,120 ----a-w C:\WINDOWS\system32\nvdispsr.dll

2007-10-04 16:14 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll

2007-10-04 16:14 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll

2007-10-04 16:14 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll

2007-10-04 16:14 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe

2007-10-04 16:14 425,984 ----a-w C:\WINDOWS\system32\keystone.exe

2007-10-04 16:14 364,544 ----a-w C:\WINDOWS\system32\nvapi.dll

2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll

2007-10-04 16:14 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll

2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll

2007-10-04 16:14 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll

2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll

2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll

2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll

2007-10-04 16:14 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll

2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll

2007-10-04 16:14 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll

2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll

2007-10-04 16:14 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll

2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll

2007-10-04 16:14 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll

2007-10-04 16:14 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll

2007-10-04 16:14 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll

2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll

2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll

2007-10-04 16:14 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll

2007-10-04 16:14 3,629,056 ----a-w C:\WINDOWS\system32\nvvitvsr.dll

2007-10-04 16:14 3,551,232 ----a-w C:\WINDOWS\system32\nvvitvs.dll

2007-10-04 16:14 3,334,144 ----a-w C:\WINDOWS\system32\nvgames.dll

2007-10-04 16:14 3,166,208 ----a-w C:\WINDOWS\system32\nvgamesr.dll

2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll

2007-10-04 16:14 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll

2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll

2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll

2007-10-04 16:14 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll

2007-10-04 16:14 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll

2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll

2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll

2007-10-04 16:14 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll

2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll

2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll

2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll

2007-10-04 16:14 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll

2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll

2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll

2007-10-04 16:14 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll

2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll

2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll

2007-10-04 16:14 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll

2007-10-04 16:14 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll

2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll

2007-10-04 16:14 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll

2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll

2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll

2007-10-04 16:14 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00]

"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-01-11 10:02]

"MoneyAgent"="C:\Program Files\Microsoft Money\System\Money Express.exe" [1999-08-04 00:00]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-12 19:26]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-11-10 19:03]

"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-11-10 19:03]

"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-10 19:35]

"schedule"="C:\Program Files\InterVideo\Smart Backup 1.0\Schedule.exe" [2004-08-31 00:05]

"NvCplDaemon"="RUNDLL32.exe" [2006-03-02 13:00 C:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" [2007-10-04 17:14 C:\WINDOWS\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-12-19 04:12 C:\WINDOWS\RTHDCPL.exe]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=sockspy.dll

 

R1 bdftdif;BitDefender Firewall TDI Filter;\??\C:\Program Files\Fichiers communs\Softwin\BitDefender Firewall\bdftdif.sys

R2 SBFSHOOK;SBFSHOOK;\??\C:\WINDOWS\system32\drivers\sbfshook.sys

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys

S3 FXDrv32;FXDrv32;\??\I:\FXDrv32.sys

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ac706ee-a0fa-11dc-9f1a-001558a9c8cd}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(&0)\command - Recycled\ctfmon.exe

 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

**************************************************************************

 

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-17 09:27:06

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-12-17 9:27:35

.

2007-12-16 20:41:35 --- E O F ---

[Binie]

Bruce? as -tu trouvé une solution pour mon probleme?

[bruce lee]

Re,

 

1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

 

2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

 

File::

C:\WINDOWS\NV38161612.TMP

C:\Documents and Settings\sabine\Local Settings\Temporary Internet Files\Content.IE5\SL41IVK9\codechq1263[1].exe

 

-Enregistre ce fichier dans: Bureau

-Nom du fichier : CFScript

-Type du fichier : tous les fichiers

-clique sur Enregistrer

-quitte le Bloc Notes

 

 

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt