trojan win32 : trojan-gen [other}

[lauron]

bonjour, j'ai un problème trojan (win32 : trojan-gen {other} trouvé par spybot,

pouvez-vous m'aider, ci-joint rapport hijackthis.

 

merci

 

Logfile of HijackThis v1.99.1

Scan saved at 10:54:03, on 25/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Ahead\InCD\InCDsrv.exe

D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Program Files\Real\RealPlayer\RealPlay.exe

D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

D:\Program Files\Logitech\ImageStudio\LogiTray.exe

D:\Program Files\Ahead\InCD\InCD.exe

D:\Program Files\QuickTime\qttask.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\Windows Live\Messenger\msnmsgr.exe

D:\Program Files\Electronic Arts\EADM\Core.exe

D:\Program Files\Insider\Insider.exe

D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

D:\Program Files\Logitech\ImageStudio\LowLight.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\Windows Desktop Search\WindowsSearch.exe

D:\Program Files\WinZip\WZQKPICK.EXE

D:\WINDOWS\system32\SearchIndexer.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\WINDOWS\system32\HPZipm12.exe

D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

D:\WINDOWS\system32\wuauclt.exe

D:\WINDOWS\system32\SearchProtocolHost.exe

D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Dcads Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - D:\WINDOWS\system32\dcads_sidebar.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: {339de69c-ac86-f939-7cf4-dec15f8a4c13} - {31c4a8f5-1ced-4fc7-939f-68cac96ed933} - D:\WINDOWS\system32\aglkymed.dll

O2 - BHO: (no name) - {42ED84A2-3002-4F7F-B73E-7BFA24BB7A04} - D:\WINDOWS\system32\geedc.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: dcads - {6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} - D:\WINDOWS\system32\nsp14.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {853CAE37-8FE3-4E3D-A91C-ABB157B8894E} - D:\Program Files\Outlook Express\mewogyhaD:\DOCUME~1\eljumel\LOCALS~1\Temp\CEMG555077.exe.dll (file missing)

O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - D:\WINDOWS\system32\spads.dll (file missing)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [RealTray] D:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [LVCOMS] D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Program Files\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Program Files\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] D:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [bestsellerAntivirus] D:\Program Files\BestsellerAntivirus\pgs.exe

O4 - HKLM\..\Run: [salestart] "D:\Program Files\Fichiers communs\BestsellerAntivirus\bm.exe" dm=http://bestsellerantivirus.com; ad=http://bestsellerantivirus.com

O4 - HKLM\..\Run: [spa_start] D:\WINDOWS\System32\Rundll32.exe "D:\WINDOWS\system32\spads.dll" DllVerify

O4 - HKLM\..\Run: [ulead AutoDetector v2] D:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe

O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [EA Core] "D:\Program Files\Electronic Arts\EADM\Core.exe" -silent

O4 - HKCU\..\Run: [insider] D:\Program Files\Insider\Insider.exe

O4 - Global Startup: hp psc 2000 Series.lnk = D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: officejet 6100.lnk = ?

O4 - Global Startup: Windows Desktop Search.lnk = D:\Program Files\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://eljumel.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{12FD5C7B-96E5-4F81-86CA-13B3DD96CE14}: NameServer = 212.27.32.5,212.27.32.176

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - D:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - AppInit_DLLs: D:\WINDOWS\system32\__c00334A3.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - D:\Program Files\Windows Live\installer\WLSetupSvc.exe

[WawaSeb]

Bonjour lauron,

 

*** Bienvenue sur le forum sécurité de Zebulon !! Je suis WawaSeb et je vais tenter de t'aider à nettoyer ton PC... ***

 

Avant tout, sache que tu utilises une vieille version de HijackThis. Télécharge et installe la dernière version [v2.0.2] :

 

1) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

Tutoriaux : http://pagesperso-orange.fr/rginformatique.../demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

---> Tu devras effacer l'ancienne version d'HijackThis lorsque tu auras installé la nouvelle !

 

 

2) Télécharge Combofix de sUBs

• Ferme toutes les fenêtres
  
• Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre)
  
• Appuie sur Y pour lancer le scan
  
• A la fin du scan (cela peut prendre du temps), un rapport sera créé
  
• Poste ce rapport dans ton / tes prochain(s) message(s)
  

 

Bon travail à toi !!!!

[lauron]

Bonjour wawaseb

 

merci pour tes premiers éléments de réponses.

 

J'ai suivi tes premières instructions, et je te communique ci-dessous le rapport fait par combofix:

 

ComboFix 07-12-21.4 - eljumel 2007-12-28 10:57:55.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.226 [GMT 1:00]

Running from: D:\Documents and Settings\eljumel\Bureau\ComboFix.exe

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

D:\Documents and Settings\All Users\Application Data.\salesmonitor

D:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk

D:\Program Files\Temporary

D:\Program Files\WinAble

D:\WINDOWS\b111.exe

D:\WINDOWS\Fonts\a.zip

D:\WINDOWS\system32\b3

D:\WINDOWS\system32\cdeeg.bak1

D:\WINDOWS\system32\cdeeg.bak2

D:\WINDOWS\system32\cdeeg.ini

D:\WINDOWS\system32\cdeeg.ini2

D:\WINDOWS\system32\cdeeg.tmp

D:\WINDOWS\system32\e1

D:\WINDOWS\system32\ldinfo.ldr

D:\WINDOWS\system32\nsp14.dll

D:\WINDOWS\system32\pac.txt

D:\WINDOWS\system32\prutv.bak1

D:\WINDOWS\system32\prutv.ini

D:\WINDOWS\system32\u4

D:\WINDOWS\system32\vgyonywy.dll

D:\WINDOWS\system32\ywynoygv.ini

D:\winlogon.exe

D:\x.dat

D:\z.dat

D:\z.exe

D:\WINDOWS\Fonts\'

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_DOMAINSERVICE

-------\LEGACY_FMTR

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-28 to 2007-12-28 ))))))))))))))))))))))))))))))))))))

.

 

2007-12-28 10:49 . 2007-12-28 10:49 <REP> d-------- D:\Program Files\Trend Micro

2007-12-27 10:37 . 2007-12-27 10:39 <REP> d-------- D:\Program Files\Everest Poker

2007-12-27 10:31 . 2007-12-27 10:31 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard

2007-12-27 10:30 . 2007-12-27 10:30 <REP> d-------- D:\Program Files\CCleaner

2007-12-27 10:17 . 2007-12-04 14:04 837,496 --a------ D:\WINDOWS\system32\aswBoot.exe

2007-12-27 10:17 . 2004-01-09 10:13 380,928 --a------ D:\WINDOWS\system32\actskin4.ocx

2007-12-27 10:17 . 2007-12-04 13:54 95,608 --a------ D:\WINDOWS\system32\AvastSS.scr

2007-12-27 10:17 . 2007-12-04 15:55 94,544 --a------ D:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-27 10:17 . 2007-12-04 15:56 93,264 --a------ D:\WINDOWS\system32\drivers\aswmon.sys

2007-12-27 10:17 . 2007-12-04 15:51 42,912 --a------ D:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-27 10:17 . 2007-12-04 15:49 26,624 --a------ D:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-27 10:17 . 2007-12-04 15:53 23,152 --a------ D:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-27 09:45 . 2007-12-27 09:46 <REP> d-------- D:\WINDOWS\SxsCaPendDel

2007-12-25 18:57 . 2007-12-27 09:44 121 --a------ D:\WINDOWS\bdagent.INI

2007-12-25 18:01 . 2007-12-27 09:45 <REP> d-------- D:\Program Files\Fichiers communs\BitDefender

2007-12-25 11:16 . 2007-12-27 09:18 <REP> d-------- D:\Documents and Settings\eljumel\Application Data\Lavasoft

2007-12-25 10:53 . 2007-12-27 09:18 <REP> d-------- D:\Program Files\Hijackthis Version Fran‡aise

2007-12-23 20:51 . 2007-12-23 20:51 <REP> d-------- D:\temp\simfilemaid

2007-12-22 15:50 . 2007-12-22 18:14 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Ulead Systems

2007-12-18 15:54 . 2007-12-18 15:54 319,488 --a------ D:\WINDOWS\system32\dcads_sidebar.dll

2007-12-03 16:27 . 2007-12-27 18:37 77,379 --a------ D:\WINDOWS\system32\dcads_sidebar_uninstall.exe

2007-11-29 20:17 . 2007-11-29 20:17 <REP> d-------- D:\Program Files\Fichiers communs\Vbox

2007-11-29 20:17 . 2007-11-29 20:17 <REP> d-------- D:\Program Files\Fichiers communs\Macromedia

2007-11-29 20:16 . 2007-11-29 20:22 <REP> d-------- D:\Program Files\Macromedia

2007-11-29 19:17 . 2007-11-29 19:17 <REP> d-------- D:\Documents and Settings\eljumel\Application Data\NeroDCTemplates

2007-11-29 19:01 . 2007-11-29 19:01 268 --ah----- D:\sqmdata06.sqm

2007-11-29 19:01 . 2007-11-29 19:01 244 --ah----- D:\sqmnoopt06.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-28 09:09 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2007-12-27 11:24 --------- d-----w D:\Program Files\Microsoft Money 2005

2007-12-27 08:19 --------- d-----w D:\Program Files\QuickTime

2007-12-27 08:18 --------- d-----w D:\Program Files\Lavasoft

2007-12-27 08:18 --------- d-----w D:\Program Files\Hijackthis Version Française

2007-12-27 08:14 --------- d-----w D:\Program Files\Azureus

2007-12-25 18:42 --------- d-----w D:\Documents and Settings\All Users\Application Data\WinZip

2007-12-25 18:03 --------- d-----w D:\Program Files\EA GAMES

2007-12-22 17:14 --------- d--h--w D:\Program Files\InstallShield Installation Information

2007-12-22 14:50 --------- d-----w D:\Program Files\Fichiers communs\InstallShield

2007-12-21 14:28 --------- d-----w D:\Program Files\Messenger Plus! Live

2007-12-18 19:15 80,097 ----a-w D:\WINDOWS\system32\dcads-remove.exe

2007-12-07 18:37 6,944 ----a-w D:\WINDOWS\system32\ealregsnapshot1.reg

2007-11-29 19:46 --------- d-----w D:\Program Files\Windows Live

2007-11-25 07:04 --------- d-----w D:\Documents and Settings\eljumel\Application Data\SolidDocuments

2007-11-20 08:35 40,731 ----a-w D:\WINDOWS\system32\superiorads-uninst.exe

2007-11-17 15:39 120 ----a-w D:\n.bat

2007-11-17 11:45 515 ----a-w D:\Documents and Settings\eljumel\z.dat

2007-11-17 11:45 271 ----a-w D:\Documents and Settings\eljumel\x.dat

2007-11-15 18:16 321,632 ----a-w D:\WINDOWS\system32\geedc.dll

2007-11-13 10:25 20,480 ----a-w D:\WINDOWS\system32\drivers\secdrv.sys

2007-11-11 11:07 --------- d-----w D:\Program Files\Java

2007-11-07 15:42 86,080 ----a-w D:\WINDOWS\system32\ysqnryny.dll

2007-11-05 13:30 85,568 ------w D:\WINDOWS\system32\fynqekmc.dll

2007-11-05 13:27 83,008 ----a-w D:\WINDOWS\system32\vklkdwlq.dll

2007-11-05 11:34 83,008 ----a-w D:\WINDOWS\system32\dyvbwmyw.dll

2007-11-04 21:28 786 ----a-w D:\1393.bat

2007-11-04 19:56 --------- d-----w D:\Documents and Settings\All Users\Application Data\Lavasoft

2007-11-04 18:57 786 ----a-w D:\5056.bat

2007-11-04 18:22 786 ----a-w D:\8103.bat

2007-11-04 18:16 --------- d-----w D:\Program Files\Realtek AC97

2007-11-04 18:16 --------- d-----w D:\Program Files\AvRack

2007-11-04 18:12 786 ----a-w D:\2078.bat

2007-11-04 13:56 786 ----a-w D:\4182.bat

2007-11-04 13:18 786 ----a-w D:\6724.bat

2007-11-04 12:59 --------- d-----w D:\Program Files\Zylom Games

2007-11-04 12:27 786 ----a-w D:\9029.bat

2007-11-04 11:16 786 ----a-w D:\4903.bat

2007-11-04 08:16 786 ----a-w D:\7739.bat

2007-11-03 13:27 147,456 ----a-w D:\WINDOWS\system32\vbzip10.dll

2007-11-02 20:57 --------- d-----w D:\Program Files\Windows Media Connect 2

2007-11-02 20:56 --------- d-----w D:\Documents and Settings\eljumel\Application Data\Ahead

2007-10-29 22:43 1,293,824 ----a-w D:\WINDOWS\system32\quartz.dll

2007-10-25 08:28 222,720 ----a-w D:\WINDOWS\system32\wmasf.dll

2007-10-23 16:49 586,752 ----a-w D:\WINDOWS\WLXPGSS.SCR

2007-10-17 17:23 10,752 ----a-w D:\WINDOWS\system32\WhoisCL.exe

2007-09-29 17:01 108,144 ----a-w D:\WINDOWS\system32\CmdLineExt.dll

2007-08-10 09:17 0 ---ha-w D:\Documents and Settings\eljumel\hpothb07.dat

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]

2007-12-18 15:54 319488 --a------ D:\WINDOWS\system32\dcads_sidebar.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{853CAE37-8FE3-4E3D-A91C-ABB157B8894E}]

D:\Program Files\Outlook Express\mewogyhaD:\DOCUME~1\eljumel\LOCALS~1\Temp\CEMG555077.exe.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E015787-B1E3-404a-95DE-3E71E1FA0305}]

D:\WINDOWS\system32\spads.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A5094149-9EC8-4B57-BFEC-260B4546E2A8}]

2007-11-15 19:16 321632 --a------ D:\WINDOWS\system32\geedc.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="D:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-08-16 15:19]

"EA Core"="D:\Program Files\Electronic Arts\EADM\Core.exe" [2007-12-04 05:57]

"SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.exe" [2004-08-03 23:55 D:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" [2005-11-11 06:47 D:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="RUNDLL32.exe" [2004-08-03 23:55 D:\WINDOWS\system32\rundll32.exe]

"Share-to-Web Namespace Daemon"="D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 03:19]

"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

"RealTray"="D:\Program Files\Real\RealPlayer\RealPlay.exe" [2007-07-20 15:07]

"LVCOMS"="D:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 16:54]

"LogitechGalleryRepair"="D:\Program Files\Logitech\ImageStudio\ISStart.exe" [2002-12-10 17:32]

"LogitechImageStudioTray"="D:\Program Files\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 17:31]

"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]

"InCD"="D:\Program Files\Ahead\InCD\InCD.exe" [2005-07-25 11:01]

"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]

"QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2007-08-11 15:13]

"SoundMan"="SOUNDMAN.EXE" [2006-03-01 09:22 D:\WINDOWS\soundman.exe]

"Ulead AutoDetector v2"="D:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" []

"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]

"Ad-Watch"="D:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe" [2007-07-06 13:12]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= D:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 14:39 294400]

 

S3 usbscan;Pilote de scanneur USB;D:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

S3 USBSTOR;Pilote de stockage de masse USB;D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

\Shell\AutoRun\command - E:\Setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecabfe6f-3564-11dc-af09-806d6172696f}]

\Shell\AutoRun\command - E:\Setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecabfe70-3564-11dc-af09-806d6172696f}]

\Shell\AutoRun\command - F:\setup.exe

\Shell\dutch\command - F:\setup.exe -l nld

\Shell\english\command - F:\setup.exe -l enu

\Shell\french\command - F:\setup.exe -l fra

\Shell\german\command - F:\setup.exe -l deu

\Shell\italian\command - F:\setup.exe -l ita

\Shell\nocheck\command - F:\setup.exe -o

\Shell\noprompt\command - F:\setup.exe -s

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2007-11-10 18:06:56 D:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1186506338.job"

- D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I

.

**************************************************************************

 

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-28 11:05:18

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-12-28 11:06:37 - machine was rebooted

.

2007-12-21 15:00:31 --- E O F ---

 

 

j'attends d'autres éléments

 

merci

[WawaSeb]

Bonjour lauron,

 

Ton système est solidement infecté !!!

Même si nous parvenons à enlever tous les malware's présents sur ta machine, je ne pourrai pas te garantir que ton ordinateur fonctionnera parfaitement par la suite...

 

 

D:\Program Files\Everest Poker

--> Les programmes de Poker viennent très souvent par et / ou avec des malware's ! Je t'encourage à désinstaller celui-ci...

 

 

D:\Program Files\Azureus

--> Les logiciels de p2p (BitTorrent) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

 

 

1) Peux-tu m'envoyer tous les fichiers .BAT (sur D:\) à l'adresse que je t'enverrai en privé stp ?

 

 

2) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : D:\WINDOWS\system32\drivers\secdrv.sys
  
• Clique sur "Submit"
  
• Répète l'opération avec les fichiers E:\Setup.exe et F:\setup.exe
  
• Copie-colle les rapports dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

3) Exécution d'un script personnalisé pour Combofix

• Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :

  File::
  D:\WINDOWS\system32\dcads_sidebar_uninstall.exe
  D:\WINDOWS\system32\dcads_sidebar.dll
  D:\WINDOWS\system32\dcads-remove.exe
  D:\WINDOWS\system32\spads.dll
  D:\WINDOWS\system32\superiorads-uninst.exe
  D:\WINDOWS\system32\geedc.dll
  D:\WINDOWS\system32\ysqnryny.dll
  D:\WINDOWS\system32\fynqekmc.dll
  D:\WINDOWS\system32\vklkdwlq.dll
  D:\WINDOWS\system32\dyvbwmyw.dll
  D:\DOCUME~1\eljumel\LOCALS~1\Temp\CEMG555077.exe.dll
  D:\WINDOWS\system32\aglkymed.dll
  D:\WINDOWS\system32\nsp14.dll
   
  Folder::
  D:\Program Files\Insider
   
  Registry::
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8E015787-B1E3-404a-95DE-3E71E1FA0305}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A5094149-9EC8-4B57-BFEC-260B4546E2A8}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{259F616C-A300-44F5-B04A-ED001A26C85C}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{339de69c-ac86-f939-7cf4-dec15f8a4c13}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31c4a8f5-1ced-4fc7-939f-68cac96ed933}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "spa_start"=-

   
  
• Enregistre-le en lui donnant le nom CFScript
  
• Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
  
  
• Poste le résultat et un nouveau rapport HijackThis !
  

--> J'attends donc dans ta prochaine réponse :

• Les trois scans de fichiers
  
• Le rapport de ComboFix
  
• Un nouveau rapport HijackThis
  

Bon travail !