rapport hijackthis Résolu

letito · le 5 janvier 2008

je suis infester d un cheval de troie nomme trat bho par avast mais je n arrive pas a l enlever

pouriez - vous m aider je n en peux plus .

voici le rapport de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:29:42, on 06/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4 .exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Analog Devices\Core\smax4pnp .exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: load=C:\WINDOWS\system32\vtstu.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3AEC3373-C823-4853-97D4-5B5549833BC3} - C:\WINDOWS\system32\jkkiijj.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {EC5465F4-8875-489E-B30D-EC6F8A334B46} - C:\WINDOWS\system32\vtstu.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4 .exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12014SC Wireless Combo Set\StartAutorun.exe MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\12014SC Wireless Combo Set\StartAutorun.exe PS2USBKbdDrv.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0B13EA69-C61D-4E7A-AA07-1999C7BFA2BC}: NameServer = 195.238.2.21,195.238.2.22

O17 - HKLM\System\CS1\Services\Tcpip\..\{0B13EA69-C61D-4E7A-AA07-1999C7BFA2BC}: NameServer = 195.238.2.21,195.238.2.22

O17 - HKLM\System\CS2\Services\Tcpip\..\{0B13EA69-C61D-4E7A-AA07-1999C7BFA2BC}: NameServer = 195.238.2.21,195.238.2.22

O20 - Winlogon Notify: jkkiijj - C:\WINDOWS\SYSTEM32\jkkiijj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

--

End of file - 6367 bytes

merci d avance

Modifié le 18 janvier 2008 par letito

Gof · le 5 janvier 2008

Bonsoir letito

Messages: 1

Bienvenue sur les forums de Zebulon.

Quelques liens pour t'aider à commencer :

Suis les consignes suivantes je te prie :

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

Double-clique combofix.exe afin de l'exécuter et suis les instructions.
Lorsque l'analyse sera complétée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.

letito · le 5 janvier 2008

Merci pour l'aide.

Voilà ce que ça donne, c normal qu'il ait fait un reboot du PC suivi d'un scan au démarage ?

ComboFix 08-01-04.1 - user 2008-01-06 23:05:10.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1432 [GMT 1:00]

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

* Created a new restore point

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\user\Application Data\user32.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Alwil Software\Avast4\ashDisp .exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4 .exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon .exe

C:\WINDOWS\system32\ctfmon.exe.tmp

C:\WINDOWS\system32\jkkiijj.dll

C:\WINDOWS\system32\nnnkjkj.dll

C:\WINDOWS\system32\pmnlkkk.dll

C:\WINDOWS\system32\qommlli.dll

C:\WINDOWS\system32\RCX16.tmp

C:\WINDOWS\system32\RCX17.tmp

C:\WINDOWS\system32\RCX19.tmp

C:\WINDOWS\system32\RCX1D.tmp

C:\WINDOWS\system32\RCX1F.tmp

C:\WINDOWS\system32\utstv.ini

C:\WINDOWS\system32\utstv.ini2

C:\WINDOWS\system32\vtstu.dll

C:\WINDOWS\system32\vtstu.exe

 <pre>
"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl .exe" replaces infected copy of "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"C:\Program Files\Alwil Software\Avast4\ashDisp .exe" moved to QooBox
"C:\Program Files\Analog Devices\Core\smax4pnp .exe" replaces infected copy of "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
"C:\Program Files\Analog Devices\SoundMAX\Smax4	 .exe" replaces infected copy of "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe"
"C:\Program Files\Analog Devices\SoundMAX\Smax4 .exe" replaces infected copy of "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe"
"C:\Program Files\DAEMON Tools Lite\daemon .exe" replaces infected copy of "C:\Program Files\DAEMON Tools Lite\daemon.exe"
"C:\Program Files\Messenger\msmsgs .exe" replaces infected copy of "C:\Program Files\Messenger\msmsgs.exe"
"C:\Program Files\Windows Live\Messenger\MsnMsgr .Exe" replaces infected copy of "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe"
"C:\WINDOWS\system32\ctfmon .exe" moved to QooBox
</pre>

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))

.

2008-01-06 23:03 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-06 16:31 . 2008-01-06 18:36 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-01-06 14:54 . 2008-01-06 14:54 <REP> d-------- C:\Program Files\Fichiers communs\Ahead

2008-01-06 14:54 . 2008-01-06 14:54 <REP> d-------- C:\Program Files\Ahead

2008-01-06 14:54 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll

2008-01-06 14:54 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll

2008-01-06 14:54 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll

2008-01-06 14:54 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll

2008-01-06 14:54 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe

2008-01-06 14:54 . 2004-03-02 17:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys

2008-01-06 14:54 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll

2008-01-06 14:54 . 2004-03-02 17:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys

2008-01-06 14:44 . 2008-01-06 14:44 <REP> d-------- C:\Program Files\Trend Micro

2008-01-05 22:22 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

2008-01-05 22:22 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll

2008-01-05 22:22 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

2008-01-05 16:46 . 2008-01-05 22:20 <REP> d-------- C:\Documents and Settings\user\Contacts

2008-01-05 16:42 . 2008-01-05 16:47 <REP> d-------- C:\Program Files\Windows Live

2008-01-05 16:42 . 2008-01-05 16:45 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-01-05 16:42 . 2008-01-05 16:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-01-01 22:40 . 2008-01-01 22:40 <REP> d--hs---- C:\WINDOWS\ftpcache

2008-01-01 01:39 . 2008-01-01 01:39 <REP> d-------- C:\WINDOWS\system32\LogFiles

2008-01-01 01:39 . 2008-01-06 17:03 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe

2008-01-01 01:39 . 2008-01-01 01:39 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe

2008-01-01 01:39 . 2008-01-06 17:03 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys

2007-12-30 20:53 . 2007-12-30 20:53 <REP> d-------- C:\WINDOWS\Downloaded Installations

2007-12-30 18:03 . 2007-12-30 18:03 <REP> d-------- C:\WINDOWS\system32\AGEIA

2007-12-30 18:03 . 2007-12-30 18:03 <REP> d-------- C:\Program Files\AGEIA Technologies

2007-12-30 17:56 . 2007-12-30 17:56 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-12-30 17:41 . 2008-01-06 23:26 <REP> d-------- C:\Program Files\DAEMON Tools Lite

2007-12-30 17:41 . 2008-01-03 13:31 <REP> d-------- C:\Documents and Settings\user\Application Data\DAEMON Tools

2007-12-30 17:23 . 2007-12-30 17:32 <REP> d-------- C:\Program Files\Alcohol Toolbar

2007-12-30 17:23 . 2007-12-30 17:23 <REP> d-------- C:\Program Files\Alcohol Soft

2007-12-30 17:21 . 2007-12-30 17:39 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2007-12-30 17:11 . 2007-12-30 17:11 <REP> d-------- C:\Program Files\Reality Pump

2007-12-30 14:09 . 2008-01-02 18:09 <REP> d-------- C:\Program Files\PokerStars

2007-12-30 13:08 . 2007-12-30 13:08 <REP> d-------- C:\Program Files\RealVNC

2007-12-30 00:42 . 2008-01-01 15:38 <REP> d-------- C:\Program Files\TrackMania Nations ESWC

2007-12-29 22:30 . 2007-12-29 22:30 <REP> d-------- C:\Documents and Settings\user\Application Data\vlc

2007-12-29 04:18 . 2007-12-29 04:18 1,357 --a------ C:\WINDOWS\mozver.dat

2007-12-29 03:36 . 2007-12-29 03:36 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared

2007-12-29 03:36 . 2008-01-03 16:08 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2007-12-29 03:36 . 2007-12-29 03:36 20,016 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys

2007-12-29 03:20 . 2007-12-29 03:20 <REP> d-------- C:\Program Files\VideoLAN

2007-12-29 03:01 . 2007-12-29 03:02 <REP> d--h----- C:\WINDOWS\msdownld.tmp

2007-12-29 02:47 . 2007-12-29 02:47 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2007-12-29 02:24 . 2007-12-29 02:24 <REP> d-------- C:\Program Files\Sierra

2007-12-29 02:12 . 2008-01-05 16:38 <REP> d-------- C:\Program Files\eMule

2007-12-29 02:12 . 2007-12-29 02:12 <REP> d-------- C:\Program Files\Alwil Software

2007-12-29 02:05 . 2007-12-29 02:05 0 --a------ C:\WINDOWS\nsreg.dat

2007-12-29 02:00 . 2007-12-29 02:00 <REP> d-------- C:\WINDOWS\ShellNew

2007-12-29 02:00 . 2007-12-29 02:00 <REP> d-------- C:\Program Files\Microsoft ActiveSync

2007-12-29 02:00 . 2007-12-29 02:00 379 --a------ C:\WINDOWS\ODBC.INI

2007-12-29 01:38 . 2006-05-05 10:41 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys

2007-12-29 01:25 . 2007-12-29 01:25 13,646 --a------ C:\WINDOWS\system32\wpa.bak

2007-12-29 01:19 . 2007-12-29 01:19 <REP> d-------- C:\WINDOWS\nview

2007-12-29 01:19 . 2007-10-09 08:36 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe

2007-12-29 01:19 . 2007-12-29 01:19 143,707 --a------ C:\WINDOWS\system32\nvapps.xml

2007-12-29 01:19 . 2007-10-09 08:36 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu

2007-12-29 01:18 . 2007-10-09 09:45 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE

2007-12-29 01:17 . 2007-12-29 01:17 <REP> d-------- C:\NVIDIA

2007-12-29 01:13 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2007-12-29 01:13 . 2004-08-19 16:00 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2007-12-29 01:08 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2007-12-29 01:08 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-29 01:24 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-12-18 23:43 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines

2007-12-18 23:43 --------- d-----w C:\Program Files\Fichiers communs\ODBC

2007-12-18 23:03 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys

2007-12-18 23:03 --------- d-----w C:\Program Files\ASUS WiFi-AP Solo

2007-12-18 23:02 --------- d-----w C:\Program Files\Marvell

2007-12-18 23:02 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2007-12-18 23:01 --------- d-----w C:\Program Files\Analog Devices

2007-12-18 22:59 --------- d-----w C:\Program Files\Intel

2007-12-18 22:53 --------- d-----w C:\Program Files\microsoft frontpage

2007-12-18 22:52 --------- d-----w C:\Program Files\Services en ligne

2007-12-18 22:51 --------- d-----w C:\Program Files\Fichiers communs\MSSoap

2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-22 02:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll

2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll

2007-10-20 05:01 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll

2007-10-12 14:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll

2007-10-12 14:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll

2007-10-09 07:36 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll

2007-10-09 07:36 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll

2007-10-09 07:36 8,527,872 ----a-w C:\WINDOWS\system32\nvcpl.dll

2007-10-09 07:36 757,760 ----a-w C:\WINDOWS\system32\nvcplui.exe

2007-10-09 07:36 6,897,664 ----a-w C:\WINDOWS\system32\nvoglnt.dll

2007-10-09 07:36 6,541,312 ----a-w C:\WINDOWS\system32\nvdisps.dll

2007-10-09 07:36 5,755,264 ----a-w C:\WINDOWS\system32\nv4_disp.dll

2007-10-09 07:36 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll

2007-10-09 07:36 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll

2007-10-09 07:36 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll

2007-10-09 07:36 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll

2007-10-09 07:36 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe

2007-10-09 07:36 425,984 ----a-w C:\WINDOWS\system32\keystone.exe

2007-10-09 07:36 380,928 ----a-w C:\WINDOWS\system32\nvapi.dll

2007-10-09 07:36 36,864 ----a-w C:\WINDOWS\system32\nvcodins.dll

2007-10-09 07:36 36,864 ----a-w C:\WINDOWS\system32\nvcod.dll

2007-10-09 07:36 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll

2007-10-09 07:36 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll

2007-10-09 07:36 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll

2007-10-09 07:36 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll

2007-10-09 07:36 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll

2007-10-09 07:36 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll

2007-10-09 07:36 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll

2007-10-09 07:36 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll

2007-10-09 07:36 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll

2007-10-09 07:36 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll

2007-10-09 07:36 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll

2007-10-09 07:36 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll

2007-10-09 07:36 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll

2007-10-09 07:36 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll

2007-10-09 07:36 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll

2007-10-09 07:36 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll

2007-10-09 07:36 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll

2007-10-09 07:36 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll

2007-10-09 07:36 3,698,688 ----a-w C:\WINDOWS\system32\nvvitvs.dll

2007-10-09 07:36 3,411,968 ----a-w C:\WINDOWS\system32\nvgames.dll

2007-10-09 07:36 3,330,048 ----a-w C:\WINDOWS\system32\nvgamesr.dll

2007-10-09 07:36 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll

2007-10-09 07:36 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll

2007-10-09 07:36 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll

2007-10-09 07:36 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll

2007-10-09 07:36 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll

2007-10-09 07:36 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll

2007-10-09 07:36 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll

2007-10-09 07:36 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll

2007-10-09 07:36 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll

2007-10-09 07:36 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll

2007-10-09 07:36 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll

2007-10-09 07:36 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll

2007-10-09 07:36 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll

2007-10-09 07:36 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll

2007-10-09 07:36 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll

2007-10-09 07:36 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll

2007-10-09 07:36 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll

2007-10-09 07:36 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll

2007-10-09 07:36 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll

2007-10-09 07:36 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll

2007-10-09 07:36 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll

2007-10-09 07:36 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll

2007-10-09 07:36 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll

2007-10-09 07:36 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll

2007-10-09 07:36 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll

2007-10-09 07:36 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll

2007-10-09 07:36 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll

2007-10-09 07:36 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll

2007-10-09 07:36 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll

2007-10-09 07:36 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll

2007-10-09 07:36 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll

2007-10-09 07:36 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll

2007-10-09 07:36 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll

2007-10-09 07:36 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll

2007-10-09 07:36 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll

2007-10-09 07:36 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2008-01-06 10:56 868352]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4 .exe" [ ]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-09 08:36 8527872]

"nwiz"="nwiz.exe" [2007-10-09 08:36 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-09 08:36 81920]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"WireLessMouse"="C:\Program Files\12014SC Wireless Combo Set\StartAutorun.exe" [ ]

"WireLessKeyboard"="C:\Program Files\12014SC Wireless Combo Set\StartAutorun.exe" [ ]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-06 10:56 39792]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]

S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-03-31 04:39]

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-01-03 19:00:00 C:\WINDOWS\Tasks\At1.job"

- C:\Documents

"2008-01-03 11:31:39 C:\WINDOWS\Tasks\At2.job"

- C:\Documents

"2008-01-03 13:00:00 C:\WINDOWS\Tasks\At3.job"

- C:\Documents

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-06 23:26:40

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-06 23:27:22 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-06 22:27:20

.

2008-01-06 10:01:05 --- E O F ---

Gof · le 5 janvier 2008

Re letito

Voilà ce que ça donne, c normal qu'il ait fait un reboot du PC suivi d'un scan au démarage ?

Oui, cela arrive quand le fix a besoin d'un redémarrage afin de supprimer des fichiers.

Tu as une variante d'infection que je n'ai pas encore eu l'occasion de traiter ; il se peut que je ne sois pas très adroit du premier coup pour l'avoir.

Effectue une analyse en ligne avec Internet explorer qui devrait déterminer si cette dernière est encore présente (le choix du moteur ESET est important) :

Rends toi sur ESET Online Scanner : http://www.eset.com/onlinescan/

Coche la case YES, I accept the Terms Of Use
Clique sur le bouton Start
Clique maintenant sur Install button
Clique à nouveau sur Start

Les mises à jour du scan en ligne vont se faire.
Ne coche pas Remove found threats
Clique sur Scan button

Le scan va démarrer, sois patient.
Quand le scan sera terminé, clique sur Details tab
Copie colle en réponse le contenu de C:\Program Files\EsetOnlineScanner\log.txt back

letito · le 6 janvier 2008

voici ce que j obtiens avec eset :

et merci pour ton aide les autres forum eux ne repondent pas

tu peux remarquer que je les ai mis en quarantaine

mais je sais pas si je peux les suprimer

# version=4

# OnlineScanner.ocx=1.0.0.56

# OnlineScannerDLLA.dll=1, 0, 0, 51

# OnlineScannerDLLW.dll=1, 0, 0, 51

# OnlineScannerUninstaller.exe=1, 0, 0, 49

# vers_standard_module=2767 (20080106)

# vers_arch_module=1.060 (20071228)

# vers_adv_heur_module=1.064 (20070717)

# EOSSerial=264ca60d46c8ea4c92e9fc3fe348dc86

# end=finished

# remove_checked=false

# unwanted_checked=false

# utc_time=2008-01-07 12:40:18

# local_time=2008-01-07 01:40:18 (+0100, Paris, Madrid)

# country="France"

# osver=5.1.2600 NT Service Pack 2

# scanned=132124

# found=18

# scan_time=853

C:\QooBox\Quarantine\catchme2008-01-06_232632.70.zip Win32/Adware.Virtumonde.FP application 5102E3FF29C8186338E5DBFA178F2476

C:\QooBox\Quarantine\catchme2008-01-06_232632.70.zip »ZIP »vtstu.dll Win32/Adware.Virtumonde.FP application 00000000000000000000000000000000

C:\QooBox\Quarantine\C\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\Program Files\Analog Devices\Core\smax4pnp.exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\Program Files\Analog Devices\SoundMAX\Smax4 .exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\Program Files\Analog Devices\SoundMAX\Smax4.exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\Program Files\DAEMON Tools Lite\daemon.exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\Program Files\Messenger\msmsgs.exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\Program Files\Windows Live\Messenger\MsnMsgr.Exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\WINDOWS\system32\ctfmon.exe.tmp.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\WINDOWS\system32\RCX16.tmp.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\WINDOWS\system32\RCX17.tmp.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\WINDOWS\system32\RCX19.tmp.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\WINDOWS\system32\RCX1D.tmp.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\WINDOWS\system32\RCX1F.tmp.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

C:\QooBox\Quarantine\C\WINDOWS\system32\vtstu.exe.vir Win32/TrojanDropper.Agent.DGO virus 00000000000000000000000000000000

Gof · le 6 janvier 2008

Bonjour letito

et merci pour ton aide les autres forum eux ne repondent pas

De rien. Si tu demandes de l'aide ailleurs pour ce même pc, on ne va pas s'y retrouver si jamais quelqu'un te demande de faire une manipulation dont je ne suis pas au courant. Il ne faut pas faire plusieurs demandes simultanément, sinon les helpers ne s'y retrouvent pas, et tu monopolises leur attention alors que d'autres personnes auraient besoin d'aide aussi.

Bien. Les détections sont déja dans un répertoire de quarantaine, tout va bien ; l'infection la plus tenace semble avoir été neutralisée par l'outil précédent.

Reposte un log Hijackthis suivi d'un rapport comme ceci :

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

Décompresse le, sur ton bureau par exemple.
Un nouveau dossier chercher va être créé DiagHelp.
Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

letito · le 6 janvier 2008

j ai essayer de telecharger le programme mais la page web ne s affiche pas et il ne veut donc pas telecharger . Cependant voici le rapport hijackthis :

ps: j ai stopper mes discussion sur les autre forum et je n ai pas fait d autre manip que la tienne

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:55:47, on 07/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\VideoLAN\VLC\vlc.exe