Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

rapport hijackthis

Sathyne

Par Sathyne
dans Analyses et éradication malwares

 Partager

Messages recommandés

Sathyne Member

Sathyne

Posté(e)
  • Auteur
Posté(e)

bonsoir!

 

voici les 3 rapports des fichiers analysés:

 

Service load: 0% 100%

 

File: lwpyuty.dll

Status: INFECTED/MALWARE

MD5: 83960d2a3754661af02104a3efc58d55

Packers detected: -

Bit9 reports: High threat detected (more info)

 

Scanner results

Scan taken on 02 Jan 2008 21:58:47 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found Trojan.Downloader.Agent.Fdx

Avast Found nothing

AVG Antivirus Found Downloader.Agent.WFR

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found Trojan.DownLoader.36527

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found Trojan-Downloader.Win32.Agent.fdx

Fortinet Found nothing

Ikarus Found Trojan-Downloader.Win32.Agent.fdx

Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.fdx

NOD32 Found probably a variant of Win32/TrojanDownloader.Agent (probable variant)

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found Trojan.DL.Win32.Agent.fdx

Sophos Antivirus Found Troj/DownLD-Gen

VirusBuster Found nothing

VBA32 Found Trojan-Downloader.Win32.Agent.fdx

 

 

 

 

Service load: 0% 100%

 

File: mxdispdr.sys

Status: INFECTED/MALWARE

MD5: 08668ea8ab60f81535bc877121fad748

Packers detected: -

Bit9 reports: File not found

 

Scanner results

Scan taken on 02 Jan 2008 22:03:36 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found BackDoor.Generic9.IKL

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found BDoor.DMB!tr.bdr

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found W32/Smalldoor.AXJA

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

 

pour le fichier suivant: tugv2f3.sys, ça m'affiche ça: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file".

 

 

et enfin le fichier hosts:

 

# Copyright © 1993-1999 Microsoft Corp.

#

# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP

# pour Windows.

#

# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.

# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée

# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse

# IP et le nom d'hôte doivent être séparés par au moins un espace.

#

# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des

# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le

# symbole '#'.

#

# Par exemple :

#

# 102.54.94.97 rhino.acme.com # serveur source

# 38.25.63.10 x.acme.com # hôte client x

 

127.0.0.1 localhost

 

 

merci d'être toujours là à m'aider....

 

 

tres bonne soirée! :P:P

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Sathyne,

 

*** N'efface pas encore les fichiers analysés stp ! ***

--> Nous allons devoir utiliser un utilitaire plus puissant...

 

 

# Télécharge Combofix de sUBs

  • Enregistre-le impérativement sur ton bureau
  • Ferme toutes les fenêtres
  • Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre)
  • Appuie sur Y pour lancer le scan
  • A la fin du scan (cela peut prendre du temps), un rapport sera créé
  • Poste ce rapport dans ton / tes prochain(s) message(s)

Bonne journée à toi ! :P

Sathyne Member

Sathyne

Posté(e)
  • Auteur
Posté(e)

bonjour!

 

je vous envoie le rapport combofix:

 

ComboFix 08-01-04.1 - Aurélie AIT-BRAHAM 2008-01-04 13:15:13.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.602 [GMT 1:00]

Running from: C:\Documents and Settings\Aurélie AIT-BRAHAM\Bureau\ComboFix.exe

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Application Data.\microsoft\pctools

C:\WINDOWS\KB611311.log

C:\WINDOWS\system32\d3d1caps.srg

C:\WINDOWS\system32\drivers\mxdispdr.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_MXDISPDR

-------\mxdispdr

-------\poof

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-04 to 2008-01-04 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-04 11:40 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-03 20:20 . 2004-08-04 00:54 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-01-03 20:20 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2008-01-02 13:41 . 2008-01-02 13:41 <REP> d-------- C:\Deckard

2008-01-01 18:29 . 2008-01-01 18:29 250 --a------ C:\WINDOWS\gmer.ini

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Java

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Fichiers communs\Java

2007-12-31 14:54 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2007-12-24 00:15 . 2007-12-24 00:15 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-12-19 19:46 . 2007-12-19 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip

2007-12-19 19:35 . 2007-12-19 19:35 <REP> d-------- C:\Program Files\Trend Micro

2007-12-15 13:38 . 2007-12-15 13:39 <REP> d-------- C:\WINDOWS\system32\fr-fr

2007-12-15 13:32 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2007-12-15 13:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2007-12-15 13:32 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2007-12-15 13:32 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2007-12-15 13:32 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2007-12-15 13:32 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2007-12-15 13:32 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2007-12-15 13:32 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2007-12-15 13:32 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll

2007-12-15 13:32 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Program Files\Lavasoft

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2007-12-11 14:31 . 2007-12-11 14:31 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-30 11:46 --------- d-----w C:\Program Files\eMule

2007-12-29 17:53 --------- d-----w C:\Program Files\MSN Messenger

2007-12-29 17:53 --------- d-----w C:\Program Files\Messenger Plus! Live

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-01 19:37 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2

2007-12-01 18:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2007-12-01 12:39 --------- d-----w C:\Program Files\Windows Live

2007-12-01 12:37 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2007-12-01 12:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2007-11-30 15:52 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2007-11-30 15:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2007-11-30 15:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7

2007-11-19 22:00 --------- d-----w C:\Program Files\Ahead

2007-11-19 21:59 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2007-11-15 19:26 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-11-11 18:58 --------- d-----w C:\Program Files\winstat

2007-11-11 16:18 --------- d-----w C:\Program Files\MSReports

2007-11-06 20:36 --------- d-----w C:\Program Files\Google

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]

"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08 65536]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-15 20:11 68856]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 10:49 307200]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 00:32 761945]

"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 23:49 15691264 C:\WINDOWS\RTHDCPL.exe]

"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2004-08-18 11:37 184320]

"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 14:29 88203 C:\WINDOWS\agrsmmsg.exe]

"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02 352256]

"TPSMain"="TPSMain.exe" [2005-08-03 16:09 266240 C:\WINDOWS\system32\TPSMain.exe]

"NDSTray.exe"="NDSTray.exe" []

"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25 73728]

"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24 118784]

"TFncKy"="TFncKy.exe" []

"TDispVol"="TDispVol.exe" [2005-09-15 14:19 73728 C:\WINDOWS\system32\TDispVol.exe]

"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20 122940]

"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"CFSServ.exe"="CFSServ.exe" []

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]

 

R0 tugv2f3;tugv2f;C:\WINDOWS\system32\DRIVERS\tugv2f3.sys [2004-08-05 12:00]

S2 a9m6;a9m6;C:\WINDOWS\system32\drivers\a9m6.sys []

S2 fk4gce98w;fk4gce98w;C:\WINDOWS\system32\drivers\fk4gce98w.sys []

S3 cryptup;cryptup;C:\WINDOWS\system32\drivers\cryptup.sys []

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74c-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74d-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\Auto\command - G:\bittorrent.exe e

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-04 13:19:17

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]

-> C:\WINDOWS\system32\y7n5.dll

.

Completion time: 2008-01-04 13:21:41 - machine was rebooted [Aur‚lie AIT-BRAHAM]

ComboFix-quarantined-files.txt 2008-01-04 12:21:38

.

2007-12-16 14:26:26 --- E O F ---

 

 

bonne journée!

Sathyne Member

Sathyne

Posté(e)
  • Auteur
Posté(e)

bonsoir!

 

ca y est ma page d'accueil "illicite" a disparue, je ne pense pas que le problème soit résolu pour autant mais en fait j'avais téléchargé la dernière version d'Internet Explorer. Seulement pour accéder a Internet, je me servais toujours de l'ancienne icone (n'ayant pas vu que j'en avait une nouvelle :P ). En passant par la nouvelle, ma page d'accueil est "normale" et du cou j'ai supprimé l'ancienne...

je trouve la situation un peu bizarre....

 

bonne soirée,

 

Sathyne

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Sathyne,

 

*** Merci pour ta patience... *** :P

 

ca y est ma page d'accueil "illicite" a disparue

--> Je suis ravi que ce problème-là ait disparu... mais effectivement, il y a encore du nettoyage à faire !

 

 

je trouve la situation un peu bizarre....

--> C'est étrange en effet...

 

 

--> Je te poste une procédure demain matin ! :P

 

Bonne nuit à toi,

:P

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour Sathyne,

 

*** Avais-tu suivi la procédure avec Flash Disinfector (dans le message n°20) ?

 

j'avais téléchargé la dernière version d'Internet Explorer

--> Normalement, la nouvelle version d'Internet Explorer remplace complètement l'ancienne...

--> Penses-tu que l'installation soit allée jusqu'au bout ?

 

 

 

Nous allons maintenant exécuter un script personnalisé pour Combofix

  • Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure !)
  • Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :
    File::
    C:\WINDOWS\system32\DRIVERS\tugv2f3.sys
    C:\WINDOWS\system32\drivers\a9m6.sys
    C:\WINDOWS\system32\drivers\fk4gce98w.sys
    C:\WINDOWS\system32\lwpyuty.dll
    C:\WINDOWS\system32\y7n5.dll
     
  • Enregistre-le en lui donnant le nom CFScript
  • Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
    CFScript.gif
  • Poste le résultat et un nouveau rapport HijackThis !

 

Bon travail...

:P

Sathyne Member

Sathyne

Posté(e)
  • Auteur
Posté(e)

bonsoir!

 

je vous poste le rapport combofix et le rapport hyjackthis:

 

 

ComboFix 08-01-04.1 - Aurélie AIT-BRAHAM 2008-01-07 17:44:24.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.599 [GMT 1:00]

Running from: C:\Documents and Settings\Aurélie AIT-BRAHAM\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Aurélie AIT-BRAHAM\Bureau\CFScript.txt

* Created a new restore point

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-12-07 to 2008-01-07 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-04 11:40 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-03 20:20 . 2004-08-04 00:54 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-01-03 20:20 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2008-01-02 13:41 . 2008-01-02 13:41 <REP> d-------- C:\Deckard

2008-01-01 18:29 . 2008-01-01 18:29 250 --a------ C:\WINDOWS\gmer.ini

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Java

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Fichiers communs\Java

2007-12-31 14:54 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2007-12-24 00:15 . 2007-12-24 00:15 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-12-19 19:46 . 2007-12-19 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip

2007-12-19 19:35 . 2007-12-19 19:35 <REP> d-------- C:\Program Files\Trend Micro

2007-12-15 13:38 . 2007-12-15 13:39 <REP> d-------- C:\WINDOWS\system32\fr-fr

2007-12-15 13:32 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2007-12-15 13:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2007-12-15 13:32 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2007-12-15 13:32 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2007-12-15 13:32 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2007-12-15 13:32 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2007-12-15 13:32 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2007-12-15 13:32 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2007-12-15 13:32 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll

2007-12-15 13:32 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Program Files\Lavasoft

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2007-12-11 14:31 . 2007-12-11 14:31 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-05 11:38 --------- d-----w C:\Program Files\eMule

2007-12-29 17:53 --------- d-----w C:\Program Files\MSN Messenger

2007-12-29 17:53 --------- d-----w C:\Program Files\Messenger Plus! Live

2007-12-11 20:49 --------- d-----w C:\Documents and Settings\Aurélie AIT-BRAHAM\Application Data\AdobeUM

2007-12-11 14:21 36,296 ----a-w C:\Documents and Settings\Aurélie AIT-BRAHAM\Application Data\GDIPFONTCACHEV1.DAT

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2007-12-01 19:37 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2

2007-12-01 18:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2007-12-01 12:39 --------- d-----w C:\Program Files\Windows Live

2007-12-01 12:37 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2007-12-01 12:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2007-11-30 20:00 --------- d-----w C:\Documents and Settings\Aurélie AIT-BRAHAM\Application Data\SecondLife

2007-11-30 15:52 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2007-11-30 15:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2007-11-30 15:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7

2007-11-26 17:59 --------- d-----w C:\Documents and Settings\Aurélie AIT-BRAHAM\Application Data\AVG7

2007-11-19 22:00 --------- d-----w C:\Program Files\Ahead

2007-11-19 21:59 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2007-11-15 19:26 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7

2007-11-14 16:49 45,056 ----a-w C:\WINDOWS\system32\lwpyuty.dll

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-11-12 20:36 20,541 ----a-w C:\WINDOWS\system32\detoured.dll

2007-11-11 19:15 18 ----a-w C:\Documents and Settings\Aurélie AIT-BRAHAM\ravver.dat

2007-11-11 19:15 18 ----a-w C:\Documents and Settings\Aurélie AIT-BRAHAM\ravver.dat

2007-11-11 18:58 --------- d-----w C:\Program Files\winstat

2007-11-11 16:18 212,291 ----a-w C:\Documents and Settings\Aurélie AIT-BRAHAM\sdd.exe

2007-11-11 16:18 212,291 ----a-w C:\Documents and Settings\Aurélie AIT-BRAHAM\sdd.exe

2007-11-11 16:18 --------- d-----w C:\Program Files\MSReports

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll

2006-11-07 16:22 0 ----a-w C:\Documents and Settings\Aurélie AIT-BRAHAM\Application Data\wklnhst.dat

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-04_13.21.28.34 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-01-07 16:27:12 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_770.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]

"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08 65536]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-15 20:11 68856]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 10:49 307200]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 00:32 761945]

"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 23:49 15691264 C:\WINDOWS\RTHDCPL.exe]

"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2004-08-18 11:37 184320]

"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 14:29 88203 C:\WINDOWS\agrsmmsg.exe]

"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02 352256]

"TPSMain"="TPSMain.exe" [2005-08-03 16:09 266240 C:\WINDOWS\system32\TPSMain.exe]

"NDSTray.exe"="NDSTray.exe" []

"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25 73728]

"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24 118784]

"TFncKy"="TFncKy.exe" []

"TDispVol"="TDispVol.exe" [2005-09-15 14:19 73728 C:\WINDOWS\system32\TDispVol.exe]

"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20 122940]

"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"CFSServ.exe"="CFSServ.exe" []

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]

 

C:\Documents and Settings\Aur‚lie AIT-BRAHAM\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-11 16:03:01]

Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-06-17 08:03:44]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-11 16:03:01]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04]

WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-06-06 11:10:02]

 

R0 tugv2f3;tugv2f;C:\WINDOWS\system32\DRIVERS\tugv2f3.sys [2004-08-05 12:00]

S2 a9m6;a9m6;C:\WINDOWS\system32\drivers\a9m6.sys []

S2 fk4gce98w;fk4gce98w;C:\WINDOWS\system32\drivers\fk4gce98w.sys []

S3 cryptup;cryptup;C:\WINDOWS\system32\drivers\cryptup.sys []

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74c-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74d-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\Auto\command - G:\bittorrent.exe e

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-07 17:46:06

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-07 17:46:24

ComboFix-quarantined-files.txt 2008-01-07 16:46:23

ComboFix2.txt 2008-01-04 12:21:41

.

2007-12-16 14:26:26 --- E O F ---

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:47:15, on 07/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ltmoh\Ltmoh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

C:\WINDOWS\system32\TPSMain.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

C:\Program Files\Synaptics\SynTP\Toshiba.exe

C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\TPSBattM.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [smoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [TDispVol] TDispVol.exe

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

 

--

End of file - 9312 bytes

 

Voila sinon pour flash desinfector oui j'avais suivi la procédure...

 

Tres bonne soirée! :P

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir Sathyne,

 

*** Il y a un problème avec ton rapport ComboFix ! ***

 

 

je vous poste le rapport combofix

--> Es-tu certain d'avoir fait exactement les manipulations que je t'ai demandées ?

--> Normalement, l'outil affiche qu'il a détruit les fichiers et là, il les a complètement ignorés !

 

 

Je te remets ces instructions avec un peu plus de commentaires...

  • ComboFix doit être sur ton bureau.
  • Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure !)
    --> Ouvre Ad-Aware 2007 --> Ad-Watch --> Désactivé (si tu as la version payante !)
     
  • Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :
    File::
    C:\WINDOWS\system32\DRIVERS\tugv2f3.sys
    C:\WINDOWS\system32\drivers\a9m6.sys
    C:\WINDOWS\system32\drivers\fk4gce98w.sys
    C:\WINDOWS\system32\lwpyuty.dll
    C:\WINDOWS\system32\y7n5.dll
     
  • Enregistre-le en lui donnant le nom CFScript <-- Cela doit être un fichier texte et il faut que son nom soit précisément celui-là !
  • Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
    CFScript.gif
  • Poste juste le résultat !

Je pense que ça va aller maintenant... :P

Sathyne Member

Sathyne

Posté(e)
  • Auteur
Posté(e)

bonjour,

 

j'espere que ce cou-ci ça a marché!

 

 

ComboFix 08-01-04.1 - Aurélie AIT-BRAHAM 2008-01-09 15:04:15.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.593 [GMT 1:00]

Running from: C:\Documents and Settings\Aurélie AIT-BRAHAM\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Aurélie AIT-BRAHAM\Bureau\CFScript.exe

* Created a new restore point

 

FILE

C:\WINDOWS\system32\drivers\a9m6.sys

C:\WINDOWS\system32\drivers\fk4gce98w.sys

C:\WINDOWS\system32\DRIVERS\tugv2f3.sys

C:\WINDOWS\system32\lwpyuty.dll

C:\WINDOWS\system32\y7n5.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\DRIVERS\tugv2f3.sys

C:\WINDOWS\system32\lwpyuty.dll

C:\WINDOWS\system32\y7n5.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-09 to 2008-01-09 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-04 11:40 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-03 20:20 . 2004-08-04 00:54 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-01-03 20:20 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-01-03 20:20 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

2008-01-02 13:41 . 2008-01-02 13:41 <REP> d-------- C:\Deckard

2008-01-01 18:29 . 2008-01-01 18:29 250 --a------ C:\WINDOWS\gmer.ini

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Java

2007-12-31 14:54 . 2007-12-31 14:54 <REP> d-------- C:\Program Files\Fichiers communs\Java

2007-12-31 14:54 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2007-12-24 00:15 . 2007-12-24 00:15 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-12-19 19:46 . 2007-12-19 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WinZip

2007-12-19 19:35 . 2007-12-19 19:35 <REP> d-------- C:\Program Files\Trend Micro

2007-12-15 13:38 . 2007-12-15 13:39 <REP> d-------- C:\WINDOWS\system32\fr-fr

2007-12-15 13:32 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2007-12-15 13:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2007-12-15 13:32 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2007-12-15 13:32 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2007-12-15 13:32 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2007-12-15 13:32 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2007-12-15 13:32 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2007-12-15 13:32 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2007-12-15 13:32 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll

2007-12-15 13:32 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Program Files\Lavasoft

2007-12-11 14:32 . 2007-12-11 14:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2007-12-11 14:31 . 2007-12-11 14:31 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-05 11:38 --------- d-----w C:\Program Files\eMule

2007-12-29 17:53 --------- d-----w C:\Program Files\MSN Messenger

2007-12-29 17:53 --------- d-----w C:\Program Files\Messenger Plus! Live

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-01 19:37 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2

2007-12-01 18:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2007-12-01 12:39 --------- d-----w C:\Program Files\Windows Live

2007-12-01 12:37 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2007-12-01 12:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2007-11-30 15:52 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2007-11-30 15:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2007-11-30 15:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7

2007-11-19 22:00 --------- d-----w C:\Program Files\Ahead

2007-11-19 21:59 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2007-11-15 19:26 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-11-11 18:58 --------- d-----w C:\Program Files\winstat

2007-11-11 16:18 --------- d-----w C:\Program Files\MSReports

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-04_13.21.28.34 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-01-09 14:06:53 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_678.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]

"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08 65536]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-15 20:11 68856]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 10:49 307200]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 00:32 761945]

"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 23:49 15691264 C:\WINDOWS\RTHDCPL.exe]

"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2004-08-18 11:37 184320]

"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 14:29 88203 C:\WINDOWS\agrsmmsg.exe]

"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02 352256]

"TPSMain"="TPSMain.exe" [2005-08-03 16:09 266240 C:\WINDOWS\system32\TPSMain.exe]

"NDSTray.exe"="NDSTray.exe" []

"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25 73728]

"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24 118784]

"TFncKy"="TFncKy.exe" []

"TDispVol"="TDispVol.exe" [2005-09-15 14:19 73728 C:\WINDOWS\system32\TDispVol.exe]

"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20 122940]

"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"CFSServ.exe"="CFSServ.exe" []

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]

 

S0 tugv2f3;tugv2f;C:\WINDOWS\system32\DRIVERS\tugv2f3.sys []

S2 a9m6;a9m6;C:\WINDOWS\system32\drivers\a9m6.sys []

S2 fk4gce98w;fk4gce98w;C:\WINDOWS\system32\drivers\fk4gce98w.sys []

S3 cryptup;cryptup;C:\WINDOWS\system32\drivers\cryptup.sys []

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74c-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ca8c74d-4c31-11dc-9c13-00a0d14ac10c}]

\Shell\Auto\command - G:\bittorrent.exe e

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-09 15:07:18

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-09 15:09:38 - machine was rebooted [Aur‚lie AIT-BRAHAM]

ComboFix-quarantined-files.txt 2008-01-09 14:09:35

ComboFix2.txt 2008-01-07 16:46:25

ComboFix3.txt 2008-01-04 12:21:41

.

2007-12-16 14:26:26 --- E O F ---

 

bonne journée!

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...