[Résolu] Rô les méchants Trojans

pochutla · le 9 janvier 2008

Content de te retrouver WawaSeb! J'ai fait ce que tu préconise. Je précise que j'ai laissé Antivir en marche durant toutes ces opérations mais je me demande maintenant si j'ai bien fait. En tout cas, voila le résultat. Autre chose: je reçois des annonces d'Antivir qui me signale la présence de Vundo régulièrement. Après ce que tu écrit (que le Troyen peut renommer des fichiers) je me demande si j'ai bien fait de choisir l'option Effacer au lieu de Mise en quarantaine. Peux-tu me guider là dessus aussi?

[01/09/2008, 16:48:03] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Guy\Bureau\VirtumundoBeGone.exe" )

[01/09/2008, 16:48:21] - Detected System Information:

[01/09/2008, 16:48:21] - Windows Version: 5.1.2600, Service Pack 2

[01/09/2008, 16:48:21] - Current Username: Guy (Admin)

[01/09/2008, 16:48:21] - Windows is in SAFE mode.

[01/09/2008, 16:48:21] - Searching for Browser Helper Objects:

[01/09/2008, 16:48:21] - BHO 1: {5CA3D70E-1895-11CF-8E15-001234567890} (DriveLetterAccess)

[01/09/2008, 16:48:21] - BHO 2: {E1759A31-E627-4758-9562-6899DF36C9C2} ()

[01/09/2008, 16:48:21] - WARNING: BHO has no default name. Checking for Winlogon reference.

[01/09/2008, 16:48:21] - Checking for HKLM\...\Winlogon\Notify\wvuurrq

[01/09/2008, 16:48:21] - Key not found: HKLM\...\Winlogon\Notify\wvuurrq, continuing.

[01/09/2008, 16:48:21] - Finished Searching Browser Helper Objects

[01/09/2008, 16:48:21] - Finishing up...

[01/09/2008, 16:48:21] - Nothing found! Exiting...

WawaSeb · le 9 janvier 2008

Bonjour pochutla,

# Peux-tu te rendre dans le dossier C:\Program Files\Trend Micro\HijackThis

Clique avec le bouton droit sur HijackThis.exe
Renomme le fichier en pochutla.exe (Vundo cache certaines clefs s'il reconnait HijackThis...)
Double-clique sur pochutla.exe pour le lancer
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum

--> Nous allons vérifier que l'infection est partie (personnellement, j'en doute...)

@ plus tard !

pochutla · le 9 janvier 2008

Bonjour WawaSeb. Comme je te le dis dans mon précédent message, j'ai des messages d'alerte réguliers de Antivir donc apparemment je suis pas tiré d'affaire... En tout cas, voila le log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:18:57, on 09/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\WINDOWS\System32\DSentry.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\pochutla.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {E1759A31-E627-4758-9562-6899DF36C9C2} - C:\WINDOWS\system32\wvuurrq.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe

O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{94FCD623-7613-4682-AD9D-BD5168E7F438}: NameServer = 10.0.0.138

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

--

End of file - 8152 bytes

WawaSeb · le 9 janvier 2008

Bonsoir pochutla,

*** Navré d'utiliser tous ces outils, le dernier est à choisir en dernier recours (idéalement !) ***

# Télécharge Combofix de sUBs

Enregistre-le impérativement sur ton bureau
Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure)
Ferme toutes les fenêtres
Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre)
Appuie sur Y pour lancer le scan
A la fin du scan (cela peut prendre du temps), un rapport sera créé
Poste ce rapport dans ton / tes prochain(s) message(s)

--> Je pars quelques heures, mais reviendrai ce soir !

--> Il sera nécessaire de faire un second passage avec ComboFix...

@ plus tard !

pochutla · le 9 janvier 2008

Bon j'ai lancé ComboFix mais vu que j'avais déconnecté ma ligne j'ai reçu des messages d'erreur (le programme voulait se connecter?). J'ai quand même tapé sur 1 après (y avait pas V) pour lancer le scan que voila. Je dois aussi sortir pour qq courses donc ça tombe bien. A plus tard WawaSeb et un grand MERCI pour tout ce que tu m'as déjà fait faire

ComboFix 08-01-09.2 - Guy 2008-01-09 18:17:47.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.257 [GMT 1:00]

Running from: C:\Documents and Settings\Guy\Bureau\ComboFix.exe

* Created a new restore point

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\pac.txt

.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-09 to 2008-01-09 ))))))))))))))))))))))))))))))))))))

.

2008-01-09 18:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-08 23:44 . 2008-01-08 23:44 2,922 --a------ C:\WINDOWS\SYSTEM32\tmp.reg

2008-01-08 22:36 . 2008-01-08 23:08 <REP> d-------- C:\VundoFix Backups

2008-01-08 22:26 . 2008-01-08 22:26 <REP> d-------- C:\Program Files\Trend Micro

2008-01-08 20:34 . 2008-01-08 20:34 <REP> d-------- C:\Documents and Settings\Guy\Application Data\AntiVir PersonalEdition Premium

2008-01-08 18:21 . 2008-01-08 18:21 <REP> d-------- C:\Program Files\Avira

2008-01-08 18:21 . 2008-01-08 18:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-01-07 22:17 . 2008-01-07 22:17 <REP> d-------- C:\WINDOWS\SYSTEM32\ardCo01

2008-01-07 22:17 . 2008-01-07 22:17 <REP> d-------- C:\Temp\cEeer12

2008-01-07 22:17 . 2008-01-07 22:17 <REP> d-------- C:\Temp

2007-12-16 10:24 . 2008-01-09 17:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2007-12-16 10:24 . 2007-12-16 10:24 1,409 --a------ C:\WINDOWS\QTFont.for

2007-12-16 10:23 . 2007-12-16 10:23 <REP> d-------- C:\Program Files\iTunes

2007-12-16 10:23 . 2007-12-16 10:23 <REP> d-------- C:\Program Files\iPod

2007-12-16 10:21 . 2007-12-16 10:22 <REP> d-------- C:\Program Files\QuickTime

2007-12-16 10:20 . 2007-12-16 10:20 <REP> d----c--- C:\WINDOWS\SYSTEM32\DRVSTORE

2007-12-16 10:19 . 2007-12-16 10:19 <REP> d-------- C:\Program Files\Fichiers communs\Apple

2007-12-16 10:19 . 2007-12-16 10:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2007-12-11 10:57 . 2007-12-11 10:57 65,536 --a------ C:\WINDOWS\SYSTEM32\QuickTimeVR.qtx

2007-12-11 10:57 . 2007-12-11 10:57 49,152 --a------ C:\WINDOWS\SYSTEM32\QuickTime.qts

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-09 10:18 --------- d-----w C:\Program Files\eMule

2007-12-16 09:20 --------- d-----w C:\Program Files\Apple Software Update

2007-11-15 15:58 --------- d-----w C:\Documents and Settings\Guy\Application Data\AdobeUM

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\SYSTEM32\lsasrv.dll

2007-11-07 09:28 728,576 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\lsasrv.dll

2007-10-30 23:23 3,590,656 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\mshtml.dll

2007-10-30 17:20 360,064 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\tcpip.sys

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\SYSTEM32\quartz.dll

2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\quartz.dll

2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\shell32.dll

2007-10-25 09:01 2,109,440 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\wmvcore.dll

2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\SYSTEM32\wmasf.dll

2007-10-25 09:00 230,912 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\wmasf.dll

2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\wininet.dll

2007-10-10 23:49 671,232 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\mstime.dll

2007-10-10 23:49 63,488 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\icardie.dll

2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieframe.dll

2007-10-10 23:49 52,224 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\msfeedsbs.dll

2007-10-10 23:49 478,208 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\mshtmled.dll

2007-10-10 23:49 459,264 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\msfeeds.dll

2007-10-10 23:49 44,544 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\iernonce.dll

2007-10-10 23:49 384,512 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\iedkcs32.dll

2007-10-10 23:49 383,488 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieapfltr.dll

2007-10-10 23:49 27,648 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\jsproxy.dll

2007-10-10 23:49 267,776 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\iertutil.dll

2007-10-10 23:49 232,960 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\webcheck.dll

2007-10-10 23:49 230,400 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieaksie.dll

2007-10-10 23:49 214,528 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\dxtrans.dll

2007-10-10 23:49 193,024 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\msrating.dll

2007-10-10 23:49 153,088 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieakeng.dll

2007-10-10 23:49 132,608 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\extmgr.dll

2007-10-10 23:49 124,928 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\advpack.dll

2007-10-10 23:49 105,984 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\url.dll

2007-10-10 23:49 102,400 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\occache.dll

2007-10-10 23:49 1,159,680 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\urlmon.dll

2007-10-10 11:00 70,656 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ie4uinit.exe

2007-10-10 11:00 625,152 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\iexplore.exe

2007-10-10 10:59 13,824 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieudinit.exe

2007-10-10 05:46 161,792 ------w C:\WINDOWS\SYSTEM32\DLLCACHE\ieakui.dll

2003-03-21 12:45 250,544 ----a-w C:\Program Files\Fichiers communs\keyhelp.ocx

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"diagent"="C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" [2002-04-03 02:01 135264]

"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]

"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2003-08-06 02:04 114741]

"StorageGuard"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-13 02:01 155648]

"PCMService"="C:\Program Files\Dell\Media Experience\PCMService.exe" [2003-08-26 20:47 204800]

"DVDSentry"="C:\WINDOWS\System32\DSentry.exe" [2003-08-13 11:27 28672]

"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 16:06 406016]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10 409600]

"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2003-10-26 22:53 57344]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-11 10:56 286720]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-01-08 18:44 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-01-07 18:54:32]

AOL 8.0 Ic“ne AOL.lnk - C:\Program Files\AOL 8.0\aoltray.exe [2004-01-09 23:36:15]

AOL Compagnon.lnk - C:\Program Files\AOL Compagnon\companion.exe [2004-01-09 23:36:39]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 21:41]

R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 21:41]

R1 fwdrv;Kerio Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys [2002-04-15 12:28]

R1 SSHDRV62;SSHDRV62;C:\WINDOWS\System32\drivers\SSHDRV62.sys [2005-06-22 12:39]

R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;"C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe" [2008-01-08 18:44]

R2 AVEService;AntiVir PersonalEdition Premium MailGuard helper service;"C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe" [2008-01-08 18:44]

S2 Parclass;Parclass;C:\WINDOWS\system32\Drivers\Parclass.sys [2003-02-10 13:30]

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-01-04 13:52:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2004-01-23 18:45:11 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

- C:\WINDOWS\System32\OOBE\OOBEBALN.EXE

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-09 18:21:37

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-09 18:22:11

ComboFix-quarantined-files.txt 2008-01-09 17:22:03

.

2008-01-09 15:42:48 --- E O F ---

WawaSeb · le 9 janvier 2008

Bonsoir pochutla,

Nous allons donc exécuter un script personnalisé pour Combofix

Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure !)
Ouvre le bloc-note et colles-y les lignes écrites en citation ci-dessous :
File::
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\SYSTEM32\wvuurrq.dll

folder::
C:\WINDOWS\SYSTEM32\ardCo01
C:\Temp\cEeer12

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E1759A31-E627-4758-9562-6899DF36C9C2}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvuurrq]
* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le ré-utiliser dans d'autres cas !
Enregistre-le en lui donnant le nom CFScript
Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
Poste le résultat et un nouveau rapport HijackThis !

Tiens-nous au courant !

pochutla · le 9 janvier 2008

J'ai suivi tes instructions WAwaSeb. A l'ouverture de Combofix, même message que tout à l'heure que je recopie: Swreg.cfexe /Erreur d'application /L'instruction à "0x7c9211de" emploie l'adresse mémoire "ox006b0068". La mémoire ne peut pas être "read". /Cliquer sur OK pour terminer le programme. J'ai quand même poursuivi et voila les résultats! Si tu as un moment...

ComboFix 08-01-09.2 - Guy 2008-01-09 21:00:46.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.225 [GMT 1:00]

Running from: C:\Documents and Settings\Guy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Guy\Bureau\CFScript.txt

* Created a new restore point

FILE

C:\WINDOWS\QTFont.for

C:\WINDOWS\QTFont.qfn

C:\WINDOWS\SYSTEM32\wvuurrq.dll

.