[resolu]Win32:tratBHO Cheval de troie

Thanos · le 16 janvier 2008

salut

Ok pour les précisions Rééssaie stp d'utiliser le CFScript plus haut et poste le rapport: ca devrait fonctionner.

roberoubar · le 16 janvier 2008

Voici le nouveau rapport :

ComboFix 08-01-11.3 - Jérémy 2008-01-16 19:26:10.4 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.230 [GMT 1:00]

Running from: C:\Documents and Settings\Jérémy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Jérémy\Bureau\CFScript.txt

* Created a new restore point

.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-16 to 2008-01-16 ))))))))))))))))))))))))))))))))))))

.

2008-01-15 19:47 . 2008-01-15 19:47 <REP> d--hs---- C:\FOUND.001

2008-01-15 18:49 . 2008-01-15 18:49 <REP> d--hs---- C:\FOUND.000

2008-01-12 10:44 . 2008-01-12 10:44 <REP> d-------- C:\Program Files\EsetOnlineScanner

2008-01-09 10:55 . 2004-11-03 23:48 5,632 -ra------ C:\WINDOWS\system32\drivers\ATKACPI.sys

2008-01-08 13:33 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-07 21:04 . 2008-01-16 19:28 121 --a------ C:\WINDOWS\bdagent.INI

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Program Files\BitDefender

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Documents and Settings\Jérémy\Application Data\Bitdefender

2008-01-07 21:00 . 2008-01-07 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender

2008-01-07 20:58 . 2008-01-07 20:58 <REP> d-------- C:\Program Files\Fichiers communs\BitDefender

2008-01-07 18:14 . 2008-01-07 18:14 <REP> d-------- C:\Program Files\Trend Micro

2008-01-01 20:49 . 2008-01-07 12:34 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe

2008-01-01 20:49 . 2008-01-05 16:28 15,360 --a------ C:\WINDOWS\system32\dllcache\ctfmon.exe

2008-01-01 20:49 . 2008-01-05 16:28 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe

2008-01-01 20:48 . 2008-01-07 12:33 417,856 --a------ C:\WINDOWS\system32\ZCfgSvc.exe

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\Temp\cEeer12

2008-01-01 16:57 . 2008-01-01 16:57 <REP> d-------- C:\Temp

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-16 08:20 22,528 ----a-w C:\WINDOWS\system32\drivers\nhcDriver.sys

2008-01-07 20:02 77,824 ----a-w C:\WINDOWS\system32\xcomm.dll

2007-11-29 13:05 --------- d-----w C:\Program Files\Sony

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\dllcache\lsasrv.dll

2007-10-30 23:23 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-10-30 17:20 360,064 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll

2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll

2007-04-08 20:12 17,080 ----a-w C:\Documents and Settings\Jérémy\Application Data\GDIPFONTCACHEV1.DAT

2007-01-08 13:17 6 ----a-w C:\Program Files\favsvrs.dat

2007-01-08 13:16 114,014 ----a-w C:\Program Files\INSTALL.LOG

1999-05-03 16:16 30,240 ----a-w C:\Program Files\SETUP.EXE

1999-05-03 16:15 141,824 ----a-w C:\Program Files\hluninst.dll

.

<pre>
----a-w			98,304 2008-01-05 15:28:18  C:\Program Files\QuickTime\qttask	   .exe
</pre>

((((((((((((((((((((((((((((( snapshot_2008-01-12_18.52.36,85 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-12 15:08:44 2,441,216 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\11bc0bf0f1b80be30bf9447ff5be530e\Microsoft.JScript.ni.dll

+ 2008-01-16 08:37:02 2,441,216 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\11bc0bf0f1b80be30bf9447ff5be530e\Microsoft.JScript.ni.dll

- 2008-01-12 15:08:46 77,824 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Vsa\990d6a6fb306a8bf2dabfcc38ca0231d\Microsoft.Vsa.ni.dll

+ 2008-01-16 08:37:04 77,824 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Microsoft.Vsa\990d6a6fb306a8bf2dabfcc38ca0231d\Microsoft.Vsa.ni.dll

- 2008-01-12 15:08:40 1,064,960 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management\6b2d086c9bf7496813e2f735b38e0b4f\System.Management.ni.dll

+ 2008-01-16 08:36:58 1,064,960 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management\6b2d086c9bf7496813e2f735b38e0b4f\System.Management.ni.dll

- 2008-01-12 17:49:24 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-16 18:25:48 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-12 17:49:24 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-16 18:25:48 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-12 17:49:24 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-16 18:25:48 241,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-12 17:49:24 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-16 18:25:50 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

- 2008-01-12 17:49:26 6,385,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

+ 2008-01-16 18:25:50 6,385,664 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

- 2008-01-12 17:49:26 16,384 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2008-01-16 18:25:50 16,384 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{381FFDE8-2394-4F90-B10D-FC6124A40F8C}

[HKEY_CLASSES_ROOT\clsid\{381ffde8-2394-4f90-b10d-fc6124a40f8c}]

[HKEY_CLASSES_ROOT\BitDefender Toolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-01-05 16:28 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [2008-01-05 16:28 98304]

"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]

"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-01-07 21:03 319488]

"NotebookHardwareControl"="C:\Program Files\Notebook Hardware Control\nhc.exe" [2008-01-07 12:34 2629632]

"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2008-01-07 12:33 94208]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2008-01-07 12:33 102400]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-07 12:33 684032]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-07 12:34 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-01-05 16:28 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

ASUS ChkMail.lnk - C:\Program Files\Asus\Asus ChkMail\ChkMail.exe [2005-01-12 22:25:52]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]

c:\WINDOWS\system32\LgNotify.dll 2004-06-14 06:46 180290 c:\WINDOWS\system32\LgNotify.dll

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2004-02-18 02:23]

R1 bdftdif;bdftdif;C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys [2007-10-19 13:17]

R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2003-05-22 17:00]

R3 bdfsfltr;bdfsfltr;C:\WINDOWS\system32\DRIVERS\bdfsfltr.sys [2007-08-02 16:03]

R3 BDSelfPr;BDSelfPr;C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys [2007-08-08 13:12]

R3 scan;BitDefender Threat Scanner;C:\WINDOWS\System32\svchost.exe [2004-08-05 14:00]

R3 WrKPoET2000;WrKPoET2000;C:\Program Files\WinPoET\WrKPoET2000.sys [2003-05-22 17:00]

R3 WRSWanDD;iVasion PoET Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 18:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-01-15 21:30:10 C:\WINDOWS\Tasks\User_Feed_Synchronization-{D3C686F4-29B0-447E-96FB-D82BAB4CC370}.job"

- C:\WINDOWS\system32\msfeedssync.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-16 19:28:01

Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

.

Completion time: 2008-01-16 19:28:35

ComboFix-quarantined-files.txt 2008-01-16 18:28:32

ComboFix4.txt 2008-01-08 12:41:58

ComboFix3.txt 2008-01-12 09:37:44

ComboFix2.txt 2008-01-12 17:52:56

.

2008-01-09 15:59:16 --- E O F ---

La seconde opération a été effectuée également.

Modifié le 16 janvier 2008 par roberoubar

Thanos · le 16 janvier 2008

salut

Ok une petite recherche pour terminer >

Télécharge Winseeker de Bibi26 sur ton bureau.

Décompresse le sur ton bureau.
Double-clique sur le répertoire créé et sur le fichier Winseeker.exe pour l'exécuter.
Clique sur l'onglet Fichiers - Recherche
Dans la fenêtre de saisie Fichier/dossier, copie-colle les éléments suivants :

qttask*

Laisse la fenêtre de saisie Date vide
Dans Répertoire à scanner, copie-colle : %systemdrive%
Assure toi que les cases suivantes soient cochées >
-Inscrire le chemin
-scanner le répertoire de manière récursive
-Inscrire la taille (en Ko)
-Inscrire la date de création
-Inscrire la date de modification
Clique sur l'onglet GO !
Clique sur le bouton GO !
L'outil va travailler et à la fin tu verras une fenêtre s'ouvrir "Analyse terminée" > clique sur OK et un rapport va s'afficher.

Copie-colle le contenu de ce rapport dans ta prochaine réponse.

courage on touche au but

Modifié le 16 janvier 2008 par charles ingals

roberoubar · le 18 janvier 2008

Salut

Voici le rapport :

WINSeeker 1.0B - bibi26

Fichier/dossier recherché : qttask*

Date recherchée : Aucune (jj/mm/aaaa)

Répertoire à scanner : C: (Récursif)

--> Fichiers/Dossiers trouvés

- [Fichier] [Créé le 15/01/2008 18:51:05] [Modifié le 16/01/2008 18:51:05] [9,58Ko] C:\WINDOWS\Prefetch\QTTASK .EXE-1F17A010.pf

- [Fichier] [Créé le 05/01/2008 16:28:16] [Modifié le 05/01/2008 16:28:16] [96Ko] C:\Program Files\QuickTime\qttask .exe

--> Fin du rapport

Thanos · le 19 janvier 2008

salut

La dernière manip à effectuer, puis on éliminera les outils téléchargés pour terminer >

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/9xqmbh

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

@++

roberoubar · le 20 janvier 2008

Bonjour

Et voici mon nouveau rapport.

ComboFix 08-01-11.3 - Jérémy 2008-01-20 11:58:14.5 - FAT32x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.212 [GMT 1:00]

Running from: C:\Documents and Settings\Jérémy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Jérémy\Bureau\CFScript.txt

* Created a new restore point

.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-20 to 2008-01-20 ))))))))))))))))))))))))))))))))))))

.

2008-01-15 19:47 . 2008-01-15 19:47 <REP> d--hs---- C:\FOUND.001

2008-01-15 18:49 . 2008-01-15 18:49 <REP> d--hs---- C:\FOUND.000

2008-01-12 10:44 . 2008-01-12 10:44 <REP> d-------- C:\Program Files\EsetOnlineScanner

2008-01-09 10:55 . 2004-11-03 23:48 5,632 -ra------ C:\WINDOWS\system32\drivers\ATKACPI.sys

2008-01-08 13:33 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-07 21:04 . 2008-01-20 12:01 121 --a------ C:\WINDOWS\bdagent.INI