[Résolu] PC infecté par quelques saletées, dont TratBho

[Belmorgha]

Bonjour,

 

Je viens vous demander conseil pour mon souçis; j'ai essayé de m'en dépatouiller seul, sans grand succès; ca se régènére à tout va, ou les fichiers sont insuprimmables.

Etant novice, ca vien peut-être aussi de moi...

 

Présentement, j'ai Avast, CC cleaner, Hijackthis, AD-aware; j'ai essayé Vundufix, mais sans succès, il n'arrive pas à éliminer le dernier fichier infecté.

 

Que dois-je vous fournir, pour commencer ?

 

Merci par avance

 

[Edit pour ajouter le log]

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:09:01, on 24/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TVersity\Media Server\MediaServer.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\eMule\emule.exe

C:\Documents and Settings\Jessy\Bureau\ScannerHijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 88.191.48.22 L2authd.lineage2.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - C:\WINDOWS\system32\jkkifda.dll

O2 - BHO: (no name) - {49D63E18-33B1-46F2-82C2-39431FB94794} - C:\WINDOWS\system32\ssqppom.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1156786436078

O20 - Winlogon Notify: ssqppom - C:\WINDOWS\SYSTEM32\ssqppom.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - C:\Program Files\Freenet\bin\wrapper-windows-x86-32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TVersityMediaServer - Unknown owner - C:\Program Files\TVersity\Media Server\MediaServer.exe

 

--

End of file - 3695 bytes

Modifié le 27 janvier 2008 par Belmorgha

[Belmorgha]

Je me permet de me remonter un peu, avant que mon post ne sombre autant que mon PC ^^

J'ai ajouté mon rapport au post hier.

[WawaSeb]

Bonsoir Belmorgha,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

---> Tu avais bien frappé en passant VundoFix (attention avec l'utilisation d'outils de nettoyage si tu n'es pas certains de connaître toutes les conséquences de leur utilisation !), mais il devient de moins en moins utile pour les nouvelles versions...

---> C'est d'ailleurs aussi le cas pour VirtumundoBeGone ou l'option "Ad more Files" de VundoFix !

 

En attendant confirmation d'experts concernant l'utilisation de l'outil le plus efficace dans notre cas, je te demanderai de bien suivre cette procédure afin de supprimer l'autre infection principale de ta machine (Bifrose)...

 

 

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

 

 

 

1) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

 

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser à la racine de ton disque dur.

 

2) Démarre en mode sans échec sur ta session comme indiqué ici (utilise la première méthode !)

• Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.cmd pour lancer le script
  
• Appuie sur Y pour démarrer le nettoyage
  
• SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
  
• Appuie donc sur une touche pour redémarrer la machine
  
• Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
  
• Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
  
• Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
  
• Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
  

Pour terminer, poste un rapport HijackThis...

 

 

Bon travail, passe une excellente soirée !

[Belmorgha]

Alors, aux nouvelles...

Je suis passé à Antivir et j'ai effectué la procedure ci-dessous, voila le rapport:

 

 

SDFix: Version 1.131

 

Run by Administrateur on 24/01/2008 at 22:43

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Trojan Files Found:

 

C:\WINDOWS\system32\NTSpool.exe - Deleted

 

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\explorer.exe

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-24 22:51:32

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:7f260ced

"s2"=dword:24f5db46

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:93,c6,dc,6f,2e,52,ba,ae,f6,3d,11,ed,2e,ce,e4,7a,e8,43,af,fb,31,..

"p0"="C:\Program Files\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4�000001]

"a0"=hex:20,01,00,00,7d,95,bb,ff,9a,3a,0d,a3,45,1d,4f,b9,2b,69,54,50,83,..

"khjeh"=hex:c7,ec,70,6c,9b,6c,b6,ae,28,5e,30,3e,20,37,98,52,cc,09,ed,07,9e,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4�000001Jf40]

"khjeh"=hex:37,30,5e,5a,8f,66,70,c8,60,3c,6f,b3,2e,15,95,b9,ef,33,32,b1,5f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:93,c6,dc,6f,2e,52,ba,ae,f6,3d,11,ed,2e,ce,e4,7a,e8,43,af,fb,31,..

"p0"="C:\Program Files\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4�000001]

"a0"=hex:20,01,00,00,7d,95,bb,ff,9a,3a,0d,a3,45,1d,4f,b9,2b,69,54,50,83,..

"khjeh"=hex:c7,ec,70,6c,9b,6c,b6,ae,28,5e,30,3e,20,37,98,52,cc,09,ed,07,9e,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4�000001Jf40]

"khjeh"=hex:37,30,5e,5a,8f,66,70,c8,60,3c,6f,b3,2e,15,95,b9,ef,33,32,b1,5f,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Thomson SpeedTouch\\ST330\\WebInstaller\\STHIW\\stInstall.exe"="C:\\Program Files\\Thomson SpeedTouch\\ST330\\WebInstaller\\STHIW\\stInstall.exe:*:Enabled:SpeedTouch Home Install Wizard"

"C:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe"="C:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe:*:Enabled:ST330 service"

"C:\\NeverwinterNights\\NWN\\nwmain.exe"="C:\\NeverwinterNights\\NWN\\nwmain.exe:*:Enabled:Neverwinter Nights"

"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Ubisoft\\Heroes of Might and Magic V\\bin\\H5_Game.exe"="C:\\Program Files\\Ubisoft\\Heroes of Might and Magic V\\bin\\H5_Game.exe:*:Enabled:Heroes of Might and Magic V"

"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main.exe"="C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main"

"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD"

"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwupdate.exe"="C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater"

"C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2server.exe"="C:\\Program Files\\Atari\\Neverwinter Nights 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server"

"C:\\Program Files\\Sony\\Station\\LaunchPad\\LaunchPad.exe"="C:\\Program Files\\Sony\\Station\\LaunchPad\\LaunchPad.exe:*:Enabled:LaunchPad"

"C:\\Program Files\\Sony\\Vanguard\\Vanguard.exe"="C:\\Program Files\\Sony\\Vanguard\\Vanguard.exe:*:Enabled:Vanguard - Saga of Heroes"

"C:\\Program Files\\World of Warcraft\\WoW-1.12.0-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-1.12.0-frFR-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\World of Warcraft\\WoW-1.12.x-to-2.0.1-frFR-patch-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-1.12.x-to-2.0.1-frFR-patch-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\World of Warcraft\\WoW-2.0.3-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.3-frFR-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-frFR-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\World of Warcraft\\WoW-2.0.5.6320-to-2.0.6.6337-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.5.6320-to-2.0.6.6337-frFR-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\World of Warcraft\\WoW-2.0.6.6337-to-2.0.7.6383-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.6.6337-to-2.0.7.6383-frFR-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-frFR-downloader.exe"="C:\\Program Files\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-frFR-downloader.exe:*:Enabled:Blizzard Downloader"

"C:\\Program Files\\neocron2\\Client.exe"="C:\\Program Files\\neocron2\\Client.exe:*:Enabled:Client"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Disabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\GOA\\Gunbound\\GunBound.gme"="C:\\Program Files\\GOA\\Gunbound\\GunBound.gme:*:Enabled:GunBound"

"C:\\Program Files\\Strategy First\\Disciples 2 Gold Elves\\Discipl2.exe"="C:\\Program Files\\Strategy First\\Disciples 2 Gold Elves\\Discipl2.exe:*:Enabled:Disciples II v3.01"

"C:\\Program Files\\Strategy First\\Disciples 2 Gold Gallean\\Discipl2.exe"="C:\\Program Files\\Strategy First\\Disciples 2 Gold Gallean\\Discipl2.exe:*:Enabled:Disciples II v2.02"

"C:\\Program Files\\Team17\\Worms World Party\\wwp.exe"="C:\\Program Files\\Team17\\Worms World Party\\wwp.exe:*:Enabled:Worms World Party"

"C:\\Program Files\\Starcraft\\StarCraft.exe"="C:\\Program Files\\Starcraft\\StarCraft.exe:*:Enabled:Starcraft"

"C:\\NeverwinterNights\\NWN\\nwserver.exe"="C:\\NeverwinterNights\\NWN\\nwserver.exe:*:Enabled:Neverwinter Nights Server"

"C:\\Program Files\\Magic Workstation\\MWSPlay.exe"="C:\\Program Files\\Magic Workstation\\MWSPlay.exe:*:Enabled:Magic Workstation Play Module"

"C:\\Program Files\\PlayOnline\\SquareEnix\\PlayOnlineViewer\\pol.exe"="C:\\Program Files\\PlayOnline\\SquareEnix\\PlayOnlineViewer\\pol.exe:*:Enabled:PlayOnline Viewer"

"C:\\Program Files\\Lineage II\\LineageII.exe"="C:\\Program Files\\Lineage II\\LineageII.exe:*:Enabled:Play Lineage II"

"C:\\Program Files\\EA Games\\Ultima Online Kingdom Reborn\\UOKR.exe"="C:\\Program Files\\EA Games\\Ultima Online Kingdom Reborn\\UOKR.exe:*:Enabled:UOKR"

"C:\\UT2004\\System\\UT2004.exe"="C:\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"

"C:\\Program Files\\Kazaa Lite K++\\KazaaLite.kpp"="C:\\Program Files\\Kazaa Lite K++\\KazaaLite.kpp:*:Enabled:KazaaLite"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\Omemo\\Omemo.exe"="C:\\Program Files\\Omemo\\Omemo.exe:*:Enabled:Omemo"

"C:\\Program Files\\TVersity\\Media Server\\TVersity.exe"="C:\\Program Files\\TVersity\\Media Server\\TVersity.exe:*:Enabled:TVersity Media Server"

"C:\\Program Files\\TVersity\\Media Server\\MediaServer.exe"="C:\\Program Files\\TVersity\\Media Server\\MediaServer.exe:*:Enabled:MediaServer.exe"

"C:\\Program Files\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe:*:Enabled:Nero MediaHome"

"C:\\Program Files\\NCsoft\\Exteel\\System\\Exteel.exe"="C:\\Program Files\\NCsoft\\Exteel\\System\\Exteel.exe:*:Enabled:Exteel"

"C:\\Program Files\\Exalight\\NetworkDiagnostic.exe"="C:\\Program Files\\Exalight\\NetworkDiagnostic.exe:*:Enabled:Exalight Network Diagnostic"

"C:\\Program Files\\Exalight\\Exalight.exe"="C:\\Program Files\\Exalight\\Exalight.exe:*:Enabled:Exalight"

"C:\\Program Files\\CCP\\EVE\\bin\\ExeFile.exe"="C:\\Program Files\\CCP\\EVE\\bin\\ExeFile.exe:*:Enabled:CCP ExeFile"

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\NCsoft\\Exteel\\System\\Exteel.exe"="C:\\Program Files\\NCsoft\\Exteel\\System\\Exteel.exe:*:Enabled:Exteel"

 

Remaining Files:

---------------

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes:

 

Mon 28 Aug 2006 193 A.SHR --- "C:\BOOT.BAK"

Fri 26 Jan 2007 8 ..SHR --- "C:\WINDOWS\system32\B16C4E0353.sys"

Fri 26 Jan 2007 2,828 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Sat 28 Oct 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Thu 24 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT1.tmp"

Sun 21 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5d8093d524ba38b2f4036bb4d3aa25e4\BIT1.tmp"

Wed 22 Nov 2006 444 ...HR --- "C:\Documents and Settings\Jessy\Application Data\SecuROM\UserData\securom_v7_01.bak"

 

Finished!

 

 

 

--------

 

Et le Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:01:10, on 24/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TVersity\Media Server\MediaServer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Jessy\Bureau\ScannerHijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - C:\WINDOWS\system32\jkkifda.dll

O2 - BHO: (no name) - {49D63E18-33B1-46F2-82C2-39431FB94794} - C:\WINDOWS\system32\ssqppom.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {F4982BAB-80E9-4838-A2A0-95D30F348161} - C:\WINDOWS\system32\wvurono.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1156786436078

O20 - Winlogon Notify: wvurono - C:\WINDOWS\SYSTEM32\wvurono.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Freenet 0.7 darknet-8888 (freenet-darknet-8888) - Unknown owner - C:\Program Files\Freenet\bin\wrapper-windows-x86-32.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TVersityMediaServer - Unknown owner - C:\Program Files\TVersity\Media Server\MediaServer.exe

 

--

End of file - 3617 bytes

 

 

 

 

Merci énormement pour l'aide, j'apprécie beaucoup

En tout cas, Vundo est du genre coriace, il se régènère à tout va, Antivir s'arrête plus de bloquer

D'ailleurs, je sais pas si ca aide, mais un fichier est bloqué à chaque fois que j'utilise un racourcis de ma barre des tâches.

Modifié le 24 janvier 2008 par Belmorgha

[Belmorgha]

J'ai lancé une analyse complète avec Antivir, et visiblement, ne subsiste que Vundu.

Mais toujours ce souçis de fichiers inamovibles même en administrateur :/

[WawaSeb]

Bonsoir Belmorgha,

 

*** Sois rassuré, nous allons y arriver ! ***

 

---> N'ayant aucune nouvelle des programmeurs, l'attaque sera plus directe...

---> Disposes-tu d'un CD de Windows XP ?

 

Je vois que tu es un "gamer" :

Si les jeux auxquels tu joues sont piratés, je t'encourage vivement à lire ceci :

------------> ATTENTION, les cracks ne sont rentables que parce qu'ils infectent ta machine !!! Je te renvoie à ce très bon article de tesgaz : A lire !

 

 

C:\\Program Files\\Azureus\\Azureus.exe

C:\\Program Files\\eMule\\emule.exe

C:\\Program Files\\Kazaa Lite K++\\KazaaLite.kpp

--> Les logiciels de p2p (Azureus, eMule, ...) sont des nids potentiels à infections ; pour t'en convaincre, lis l'excellent article de tesgaz

 

 

 

# Télécharge Combofix de sUBs

• Enregistre-le impérativement sur ton bureau.
  
• Déconnecte-toi du net et désactive ton antivirus (juste le temps de la procédure).
  
• Ferme toutes les fenêtres.
  
• Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre).
  
• Appuie sur Y pour lancer le scan.
  
• A la fin du scan (cela peut prendre du temps), un rapport sera créé.
  
• Poste ce rapport dans ton / tes prochain(s) message(s).
  

Bonne nuit !

[Belmorgha]

Alors alors, oui, j'ai un CD de Windows XP original pas loin si besoin;

 

Merci pour les avertissements sur les cracks; j'évite, en général

 

 

Place au rapport...

 

 

------

 

 

 

ComboFix 08-01-23.1C - Jessy 2008-01-26 1:00:24.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.685 [GMT 1:00]

Endroit: C:\Documents and Settings\Jessy\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\jkkifda.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\nm

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-26 00:58 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe

2008-01-24 23:35 . 2008-01-24 23:35 <REP> d-------- C:\Program Files\Dialsoft

2008-01-24 22:42 . 2008-01-24 22:42 <REP> d-------- C:\WINDOWS\ERUNT

2008-01-24 20:06 . 2008-01-24 20:06 <REP> d-------- C:\Program Files\Avira

2008-01-24 15:58 . 2008-01-24 15:58 39,424 --a------ C:\WINDOWS\system32\wvurono.VIR

2008-01-24 14:25 . 2008-01-24 21:36 <REP> d-------- C:\VundoFix Backups

2008-01-23 19:48 . 2008-01-24 19:13 <REP> d-------- C:\Program Files\ZebHelpProcess 2

2008-01-23 19:48 . 2008-01-23 19:48 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared

2008-01-23 19:48 . 1999-03-03 05:01 212,440 --a------ C:\WINDOWS\system32\DBCLIENT.DLL

2008-01-23 19:48 . 2001-05-10 17:00 184,320 --a------ C:\WINDOWS\system32\BDEADMIN.CPL

2008-01-22 23:45 . 2008-01-22 23:45 <REP> d-------- C:\backups

2008-01-22 21:28 . 2008-01-24 19:59 <REP> d-------- C:\Program Files\Panda Security

2008-01-21 23:25 . 2008-01-21 23:25 37,888 --a------ C:\WINDOWS\system32\rar.exe

2008-01-15 21:42 . 2008-01-15 21:48 <REP> d-------- C:\Program Files\LEGO Company

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-25 18:30 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-25 18:30 --------- d-----w C:\Program Files\Ubisoft

2008-01-25 13:48 --------- d-----w C:\Program Files\eMule

2008-01-03 22:29 --------- d-----w C:\Program Files\Azureus

2007-12-20 15:47 --------- d-----w C:\Program Files\WoW Model Viewer

2007-12-17 15:09 --------- d-----w C:\Program Files\World of Warcraft

2007-12-17 01:38 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment

2007-12-15 23:54 --------- d-----w C:\Program Files\City of Heroes

2007-12-12 19:57 --------- d-----w C:\Program Files\EFT

2007-12-10 23:32 --------- d-----w C:\Program Files\EVEMon

2007-12-08 23:37 --------- d-----w C:\Program Files\Exalight

2007-11-27 00:21 --------- d-----w C:\Program Files\OpenAL

2007-11-26 16:26 --------- d-----w C:\Program Files\CCP

2007-06-14 15:07 7,168 --sha-w C:\Program Files\Thumbs.db

2007-04-14 18:53 6,144 --sha-w C:\Program Files\Fichiers communs\Thumbs.db

2007-01-26 18:23 8 --sh--r C:\WINDOWS\system32\B16C4E0353.sys

2007-01-26 18:24 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{49D63E18-33B1-46F2-82C2-39431FB94794}]

C:\WINDOWS\system32\ssqppom.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F4982BAB-80E9-4838-A2A0-95D30F348161}]

C:\WINDOWS\system32\wvurono.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-24 20:13 249896]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

"NTSpool"= NTSpool.exe

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{49D63E18-33B1-46F2-82C2-39431FB94794}"= C:\WINDOWS\system32\ssqppom.dll [ ]

"{F4982BAB-80E9-4838-A2A0-95D30F348161}"= C:\WINDOWS\system32\wvurono.dll [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvurono]

wvurono.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 1000 series.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 1000 series.lnk

backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk

backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTIVBOARD]

c:\apps\ABoard\ABoard.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2004-07-20 08:22 57344 C:\WINDOWS\ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]

--a------ 2004-09-15 09:20 2557952 C:\WINDOWS\ALCWZRD.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2007-04-03 23:29 165784 C:\Program Files\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\diagnostics]

C:\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2004-06-16 06:03 221184 C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2004-06-16 06:03 81920 C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]

--a------ 2005-06-08 13:44 196608 C:\Program Files\Logitech\Video\ManifestEngine.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

--a------ 2005-06-08 14:24 458752 C:\Program Files\Logitech\Video\ISStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

--a------ 2005-06-08 14:14 217088 C:\Program Files\Logitech\Video\LogiTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

--a------ 2005-07-19 16:32 221184 C:\WINDOWS\system32\LVCOMSX.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2005-09-25 18:11 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

--a------ 2006-10-22 11:22 7700480 C:\WINDOWS\system32\NvCpl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]

C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2006-10-22 11:22 86016 C:\WINDOWS\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayNC Launcher]

--a------ 2007-11-21 00:49 38128 C:\program files\ncsoft\launcher\NCLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a------ 2003-04-24 15:53 54784 C:\WINDOWS\SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2005-11-10 12:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2006-08-28 14:11 151597 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]

C:\WINDOWS\system32\dumprep 0 -u

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2004-12-20 19:41 33792 C:\Program Files\Winamp\winampa.exe

 

R3 Cap713x;Cap713x Video Capture;C:\WINDOWS\system32\DRIVERS\Cap713x.sys [2004-10-08 15:58]

S2 freenet-darknet-8888;Freenet 0.7 darknet-8888;"C:\Program Files\Freenet\bin\wrapper-windows-x86-32.exe" []

S3 ST330;ST330;C:\WINDOWS\system32\drivers\st330.sys [2006-08-28 17:37]

S3 STBUS;STBUS;C:\WINDOWS\system32\drivers\stbus.sys [2006-08-28 17:37]

S3 stppp;Speedtouch PPP Adapter Adapter;C:\WINDOWS\system32\DRIVERS\stppp.sys [2006-08-28 17:37]

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2007-07-11 22:52:47 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1176243529.job"

- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-26 01:07:41

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-01-26 1:10:18 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-26 00:10:16

.

2008-01-10 00:59:10 --- E O F ---

 

 

---

 

 

 

 

Merci pour votre aide; ca dit quoi de beau, ce charabia ?

[Belmorgha]

Ah, en tout cas, Vundo est toujours la, je vien de scanner mon PC et j'ai trouvé des fichiers infectés :/

[angelique]

Wawaseb[il m'en voudra pas , j'espere ] etant absent pour le moment, on va faire avançer ton schmilblick

 

--------------------------------------------

 

1/

 

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

File::
C:\WINDOWS\system32\wvurono.dll
C:\WINDOWS\system32\wvurono.VIR
C:\WINDOWS\system32\ssqppom.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{49D63E18-33B1-46F2-82C2-39431FB94794}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F4982BAB-80E9-4838-A2A0-95D30F348161}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"NTSpool"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{49D63E18-33B1-46F2-82C2-39431FB94794}"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F4982BAB-80E9-4838-A2A0-95D30F348161}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvurono]

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

* Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

2/ Vas sur le site http://virusscan.jotti.org/

• Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier en gras: C:\WINDOWS\system32\rar.exe
  
• Clique sur submit toujours en haut à droite
  
• Le scan va se lancer, ça va prendre un petit instant
  
• A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
  
• Poste ce fichier dans ta prochaine réponse
  

*te refais idem avec ce fichier en gras: C:\WINDOWS\system32\B16C4E0353.sys

 

ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!

Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

[Belmorgha]

Rapport Combofix:

 

ComboFix 08-01-23.1C - Jessy 2008-01-26 14:57:53.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.430 [GMT 1:00]

Endroit: C:\Documents and Settings\Jessy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Jessy\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE

C:\WINDOWS\system32\ssqppom.dll

C:\WINDOWS\system32\wvurono.dll

C:\WINDOWS\system32\wvurono.VIR

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-26 01:24 . 2008-01-26 01:25 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat

2008-01-26 00:58 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe

2008-01-24 23:35 . 2008-01-24 23:35 <REP> d-------- C:\Program Files\Dialsoft

2008-01-24 22:42 . 2008-01-24 22:42 <REP> d-------- C:\WINDOWS\ERUNT

2008-01-24 20:06 . 2008-01-24 20:06 <REP> d-------- C:\Program Files\Avira

2008-01-24 14:25 . 2008-01-24 21:36 <REP> d-------- C:\VundoFix Backups

2008-01-23 19:48 . 2008-01-24 19:13 <REP> d-------- C:\Program Files\ZebHelpProcess 2

2008-01-23 19:48 . 2008-01-23 19:48 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared

2008-01-23 19:48 . 1999-03-03 05:01 212,440 --a------ C:\WINDOWS\system32\DBCLIENT.DLL

2008-01-23 19:48 . 2001-05-10 17:00 184,320 --a------ C:\WINDOWS\system32\BDEADMIN.CPL

2008-01-22 23:45 . 2008-01-22 23:45 <REP> d-------- C:\backups

2008-01-22 21:28 . 2008-01-24 19:59 <REP> d-------- C:\Program Files\Panda Security

2008-01-21 23:25 . 2008-01-21 23:25 37,888 --a------ C:\WINDOWS\system32\rar.exe

2008-01-15 21:42 . 2008-01-15 21:48 <REP> d-------- C:\Program Files\LEGO Company

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-26 02:16 --------- d-----w C:\Program Files\eMule

2008-01-25 18:30 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-25 18:30 --------- d-----w C:\Program Files\Ubisoft

2008-01-03 22:29 --------- d-----w C:\Program Files\Azureus

2007-12-20 15:47 --------- d-----w C:\Program Files\WoW Model Viewer

2007-12-17 15:09 --------- d-----w C:\Program Files\World of Warcraft

2007-12-17 01:38 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment

2007-12-15 23:54 --------- d-----w C:\Program Files\City of Heroes

2007-12-12 19:57 --------- d-----w C:\Program Files\EFT

2007-12-10 23:32 --------- d-----w C:\Program Files\EVEMon

2007-12-08 23:37 --------- d-----w C:\Program Files\Exalight

2007-11-27 00:21 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll

2007-11-27 00:21 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll

2007-11-27 00:21 --------- d-----w C:\Program Files\OpenAL

2007-11-26 16:26 --------- d-----w C:\Program Files\CCP

2007-11-22 21:34 258,352 ----a-w C:\WINDOWS\system32\unicows.dll

2007-11-17 15:25 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll

2007-11-17 15:25 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll

2007-11-17 15:25 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll

2007-11-14 07:28 450,560 ------w C:\WINDOWS\system32\dllcache\jscript.dll

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll

2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys

2007-10-30 10:18 3,079,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll

2007-06-14 15:07 7,168 --sha-w C:\Program Files\Thumbs.db

2007-04-14 18:53 6,144 --sha-w C:\Program Files\Fichiers communs\Thumbs.db

2007-01-26 18:23 8 --sh--r C:\WINDOWS\system32\B16C4E0353.sys

2007-01-26 18:24 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

 

((((((((((((((((((((((((((((( snapshot@2008-01-26_ 1.10.01.60 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-25 23:59:24 765,952 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-26 13:57:16 765,952 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-25 23:59:24 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-26 13:57:17 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-25 23:59:24 765,952 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-26 13:57:17 765,952 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-25 23:59:24 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-26 13:57:17 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

- 2008-01-25 23:59:25 7,061,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat

+ 2008-01-26 13:57:18 7,061,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\ntuser.dat

- 2008-01-25 23:59:25 208,896 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2008-01-26 13:57:18 208,896 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2006-08-23 22:37:52 796,584 ----a-w C:\WINDOWS\system32\libeay32_0.9.6l.dll

+ 2006-08-23 22:37:58 83,960 ----a-w C:\WINDOWS\system32\vsdata.dll

+ 2006-08-23 22:38:36 392,824 ----a-w C:\WINDOWS\system32\vsdatant.sys

+ 2006-08-23 22:38:00 157,688 ----a-w C:\WINDOWS\system32\vsinit.dll

+ 2006-08-23 22:38:00 104,440 ----a-w C:\WINDOWS\system32\vsmonapi.dll

+ 2006-08-23 22:38:02 268,280 ----a-w C:\WINDOWS\system32\vspubapi.dll

+ 2006-08-23 22:38:02 71,672 ----a-w C:\WINDOWS\system32\vsregexp.dll

+ 2006-08-23 22:38:04 440,312 ----a-w C:\WINDOWS\system32\vsutil.dll

+ 2006-08-23 22:39:32 42,920 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll

+ 2006-08-23 22:38:04 59,384 ----a-w C:\WINDOWS\system32\vswmi.dll

+ 2006-08-23 22:38:04 100,344 ----a-w C:\WINDOWS\system32\vsxml.dll

+ 2006-08-23 22:38:06 83,960 ----a-w C:\WINDOWS\system32\zlcomm.dll

+ 2006-08-23 22:38:06 71,672 ----a-w C:\WINDOWS\system32\zlcommdb.dll

+ 2006-08-23 22:37:46 112,632 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd.dll

+ 2006-08-23 22:39:22 18,344 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd_loc040c.dll

+ 2004-01-30 11:35:08 813,568 ----a-w C:\WINDOWS\system32\ZoneLabs\dbghelp.dll

+ 2006-08-23 22:37:48 129,016 ----a-w C:\WINDOWS\system32\ZoneLabs\fbl.dll

+ 2006-08-23 22:37:50 38,912 ----a-w C:\WINDOWS\system32\ZoneLabs\featuremap.dll

+ 2006-08-23 22:38:40 26,536 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zlsvc.zip.dll

+ 2006-08-23 22:38:40 1,361,832 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zpy.zip.dll

+ 2006-08-23 22:40:52 30,720 ----a-w C:\WINDOWS\system32\ZoneLabs\plugins\rpc_server\rpc_server.dll

+ 2006-08-23 22:40:52 30,744 ----a-w C:\WINDOWS\system32\ZoneLabs\plugins\vsmon_plugin\vsmon_plugin.dll

+ 2006-08-03 00:53:28 677,872 ----a-w C:\WINDOWS\system32\ZoneLabs\qrbase.dll

+ 2006-08-03 00:53:28 641,008 ----a-w C:\WINDOWS\system32\ZoneLabs\qrsrecl.dll

+ 2006-08-23 22:37:54 169,976 ----a-w C:\WINDOWS\system32\ZoneLabs\scheduler.dll

+ 2006-08-23 22:39:30 18,344 ----a-w C:\WINDOWS\system32\ZoneLabs\scheduler_loc040c.dll

+ 2006-05-31 14:51:00 1,228,606 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat

+ 2006-08-03 00:53:30 1,308,656 ----a-w C:\WINDOWS\system32\ZoneLabs\srescan.dll

+ 2006-08-03 00:53:32 29,680 ----a-w C:\WINDOWS\system32\ZoneLabs\srescan.sys

+ 2006-08-23 22:37:56 456,696 ----a-w C:\WINDOWS\system32\ZoneLabs\ssleay32.dll

+ 2006-08-23 22:40:54 206,864 ----a-w C:\WINDOWS\system32\ZoneLabs\streamapi\httpblocker\httpblocker.dll

+ 2006-07-13 01:42:56 866,288 ----a-w C:\WINDOWS\system32\ZoneLabs\updating.dll

+ 2006-08-23 22:38:26 124,920 ----a-w C:\WINDOWS\system32\ZoneLabs\updclient.exe

+ 2006-08-23 22:39:30 75,688 ----a-w C:\WINDOWS\system32\ZoneLabs\updClient_loc040c.dll

+ 2006-08-23 22:37:58 104,440 ----a-w C:\WINDOWS\system32\ZoneLabs\vsavpro.dll

+ 2006-08-23 22:38:00 79,864 ----a-w C:\WINDOWS\system32\ZoneLabs\vsdb.dll

+ 2006-08-23 22:39:30 18,344 ----a-w C:\WINDOWS\system32\ZoneLabs\vsdb_loc040c.dll

+ 2006-08-23 22:38:26 75,768 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmon.exe

+ 2006-08-23 22:39:30 47,016 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmon_loc040c.dll

+ 2006-08-23 22:38:00 2,013,176 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmondll.dll

+ 2006-08-23 22:38:02 1,316,856 ----a-w C:\WINDOWS\system32\ZoneLabs\vsruledb.dll

+ 2006-08-23 22:39:32 198,568 ----a-w C:\WINDOWS\system32\ZoneLabs\vsruledb_loc040c.dll

+ 2006-08-23 22:38:04 243,704 ----a-w C:\WINDOWS\system32\ZoneLabs\vsvault.dll

+ 2006-08-23 22:39:32 18,344 ----a-w C:\WINDOWS\system32\ZoneLabs\vsvault_loc040c.dll

+ 2006-05-31 14:51:00 1,228,606 ----a-w C:\WINDOWS\system32\ZoneLabs\zlasdbup.dat

+ 2006-08-23 22:38:08 178,168 ----a-w C:\WINDOWS\system32\ZoneLabs\zlparser.dll

+ 2006-08-23 22:38:08 79,872 ----a-w C:\WINDOWS\system32\ZoneLabs\zlquarantine.dll

+ 2006-08-23 22:39:36 18,344 ----a-w C:\WINDOWS\system32\ZoneLabs\zlquarantine_loc040c.dll

+ 2006-08-23 22:38:10 251,896 ----a-w C:\WINDOWS\system32\ZoneLabs\zlsre.dll

+ 2006-08-23 22:39:36 22,440 ----a-w C:\WINDOWS\system32\ZoneLabs\zlsre_loc040c.dll

+ 2006-08-23 22:38:10 124,920 ----a-w C:\WINDOWS\system32\ZoneLabs\zlupdate.dll

+ 2006-08-23 22:38:18 1,087,480 ----a-w C:\WINDOWS\system32\ZoneLabs\zpy.dll

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-24 20:13 249896]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]

"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38 968696]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 1000 series.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 1000 series.lnk

backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk

backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTIVBOARD]

c:\apps\ABoard\ABoard.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--a------ 2004-07-20 08:22 57344 C:\WINDOWS\ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]

--a------ 2004-09-15 09:20 2557952 C:\WINDOWS\ALCWZRD.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2007-04-03 23:29 165784 C:\Program Files\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\diagnostics]

C:\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2004-06-16 06:03 221184 C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2004-06-16 06:03 81920 C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]

--a------ 2005-06-08 13:44 196608 C:\Program Files\Logitech\Video\ManifestEngine.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

--a------ 2005-06-08 14:24 458752 C:\Program Files\Logitech\Video\ISStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

--a------ 2005-06-08 14:14 217088 C:\Program Files\Logitech\Video\LogiTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

--a------ 2005-07-19 16:32 221184 C:\WINDOWS\system32\LVCOMSX.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2005-09-25 18:11 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

--a------ 2006-10-22 11:22 7700480 C:\WINDOWS\system32\NvCpl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]

C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2006-10-22 11:22 86016 C:\WINDOWS\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayNC Launcher]

--a------ 2007-11-21 00:49 38128 C:\program files\ncsoft\launcher\NCLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a------ 2003-04-24 15:53 54784 C:\WINDOWS\SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2005-11-10 12:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2006-08-28 14:11 151597 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]

C:\WINDOWS\system32\dumprep 0 -u

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2004-12-20 19:41 33792 C:\Program Files\Winamp\winampa.exe

 

R3 Cap713x;Cap713x Video Capture;C:\WINDOWS\system32\DRIVERS\Cap713x.sys [2004-10-08 15:58]

S2 freenet-darknet-8888;Freenet 0.7 darknet-8888;"C:\Program Files\Freenet\bin\wrapper-windows-x86-32.exe" []

S3 ST330;ST330;C:\WINDOWS\system32\drivers\st330.sys [2006-08-28 17:37]

S3 STBUS;STBUS;C:\WINDOWS\system32\drivers\stbus.sys [2006-08-28 17:37]

S3 stppp;Speedtouch PPP Adapter Adapter;C:\WINDOWS\system32\DRIVERS\stppp.sys [2006-08-28 17:37]

 

*Newly Created Service* - SRESCAN

*Newly Created Service* - VSMON

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-07-11 22:52:47 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1176243529.job"

- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-26 15:02:26

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-01-26 15:02:58

ComboFix-quarantined-files.txt 2008-01-26 14:02:56

ComboFix2.txt 2008-01-26 00:10:19

.

2008-01-10 00:59:10 --- E O F ---

 

 

 

-----

 

 

 

Pour les rapports du site; j'en ai pas eu visiblement; le stasus des fichiers est OK, nothing found pour tout les AV.

 

 

 

Merci de prendre le relais ^^