RESOLU! Infecté par trojan PSW.Generic : dpnadd.dll

[VinDSL]

Bonjour!

 

Depuis quelques temps, mon anti-virus (AVG Free 7.5) m'avertit que mon PC est infecté par un trojan de type PSW.Generic.

Le fichier infecté en question est: C:\WINDOWS\system32\dpnadd.dll

 

AVG réussit à le mettre en quarantaine, mais n'arrive pas à l'effacer puisque lorsque je reboot mon PC, le message d'avertissement revient inévitablement. J'ai également scanné mon système avec Spybot S&D, AVG Anti-Spyware de même que HiJackThis, et tous listent ce fichier comme étant un BHO de source inconnue. (J'ai vérifié dans les Options Internet du Panneau de Configuration, et dpnadd.dll est effectivement listé comme un 'add-on' de MsIEx, mais son statut est 'disabled'...)

Cependant, aucun de ces programmes ne le détecte en tant que 'malware' ou fichier corrompu...

 

1) Je me demande donc, dans un premier temps, si ce fichier est réellement infecté, ou bien si AVG se 'trompe' à son sujet...

J'ai 'googlé' le nom du fichier, de même que son CLSID, et je n'ai rien trouver de bien significatif. Quelqu'un aurait plus d'info à me donner à ce sujet?

Par exemple, qu'est-ce exactement qu'un trojan de type PSW.Generic? Est-ce bien 'dangereux'? Dois-je absolument m'en débarasser?

 

2) D'un autre côté, je me suis dit que si je n'arrivais pas à effacer de quelque façon que ce soit ce foutu fichier, c'est qu'il doit forcément avoir quelque chose de louche, non? (A moins, bien sur, que ce soit un fichier système important, mais dans ce cas-la, pourquoi serait-il listé comme étant un objet de source inconnue et non pas de source Microsoftienne?) Donc j'ai tenté en vain de le faire disparaître de la surface de mon disk dur, et croyez-moi, j'ai vraiment tout fait en mon possible pour l'effacer: Spybot S&D, AVG Anti-Spyware, Ad-Aware 2007, WinPatrol, CWShredder, SmitFraudFix...

J'ai même essayé (en désespoir de cause) Windows Defender, mais bon faut dire que je ne m'étais pas fait trop d'attentes!

 

Et même le 'tout-puissant' HiJackThis, par lequel tous les experts semblent jurer, n'en vient pas à bout, et ce malgré son utilitaire qui permet de supprimer un fichier soit disant ineffacable au démarrage de Windows. Évidemment, j'ai utilisé HiJackThis, AVG et cie en mode sans échec (SAFE Mode) pour mettre toutes les chances de mon côté, mais encore là, rien à faire! Vraiment trop coriace, ce dpnadd.dll!

 

Donc est-ce que quelqu'un aurait une brilliante solution à me proposer?

Toute information pertinente sera fortement la bienvenue!

Merci!

 

ps: Je ne sais pas si ca a un rapport, mais les messages d'AVG ont commencés à apparaitre suite à l'installation d'une update Windows... (WinXP)

Modifié le 30 janvier 2008 par VinDSL

[VinDSL]

Bonjour!

 

J'ai posté jeudi une demande d'aide pour éradiquer un malware très coriace (voir le post original ici ), et bien qu'elle ait été lue plus d'une trentaine de fois, personne ne m'a encore répondu!

 

Sérieusement, j'ai réellement besoin d'aide, et la moindre information utile sera très appréciée! Je considère (en toute modestie ) mon degré de connaissances en informatique comme étant de niveau intermédiaire-avancé, et malgré que j'ai vraiment tout fait en mon possible pour éliminer le problème (même utiliser HiJackThis en SAFE Mode), je n'y arrive tout simplement pas!

 

C'est pour ca que je me suis ultimement tourné vers le forum de Zébulon, afin d'avoir l'avis d'un véritable expert en la matière!

Donc si y'a quelqu'un parmi vous qui a envie d'un challenge en sécurité informatique et qui veut mettre son expertise à l'épreuve, et bien surtout, n'hésitez pas à me répondre!

 

Mille fois merci!

[angelique]

Et même le 'tout-puissant' HiJackThis, par lequel tous les experts semblent jurer, n'en vient pas à bout, et ce malgré son utilitaire qui permet de supprimer un fichier soit disant ineffacable au démarrage de Windows

 

Et tu veux pas donner de la matiere à lire pour les membres sécurité de la section?? en postant tout simplement ton rapport HJT!!

[VinDSL]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:56:26, on 2008-01-26

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Tablet.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\WINDOWS\system32\Tablet.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/?lang=fr-ca

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1036

O2 - BHO: (no name) - {25AB7565-047D-4F41-BD72-FDA1875779F8} - C:\WINDOWS\system32\dpnadd.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {f09f0031-a88d-49e1-9521-5723c15dd4ae} - C:\WINDOWS\system32\kbddrv.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Program Files\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.e4me.com

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1163348883765

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: kbddrv - kbddrv.dll (file missing)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

 

--

End of file - 6818 bytes

 

 

Et voila! J'ai mis en caractères gras le BHO suspect que AVG détecte en tant que trojan PSW.Generic.

En espérant que ca puisse aider...

[angelique]

On va commencer comme ça::

 

**Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

 

http://www.atribune.org/ccount/click.php?id=4

 

Double-clique VundoFix.exe afin de le lancer.

.

Clique sur le bouton Scan for Vundo.

Lorsque le scan est complété, clique sur le bouton Remove Vundo.

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

Redémarre le pc et Copie/colle le contenu du rapport situé dans C:\vundofix.txt

[VinDSL]

Angélique,

J'ai installé VundoFix et suivi tes instructions à la lettre, mais ca ne fut malheureusement d'aucune utilité!

Aussi bien en mode Normal que Sans Échec, il n'a absolument rien détecter!

 

Avant d'essayer un x-ième programme anti-spyware (parce que la liste de ceux déja essayés commence sérieusement à être très longue, et aucun jusqu'à maintenant ne donne de véritables résultats), ce serait GRANDEMENT apprécié si toi ou un autre expert en sécurité pourrait d'abord répondre à ces quelques questions:

 

1- Qu'est ce qu'un trojan de type PSW.Generic? Qu'est-ce que ca fait exactment, comment ca fonctionne, quel est son degré de 'dangerosité', etc.?

2- Est-ce que le fichier dpnadd.dll est un fichier-système qui se retrouve normalement dans le dosier system32 (et qui aurait donc été infecté par le trojan), ou bien est-ce que c'est un fichier 'alien', qui constitue en soi le trojan? En d'autres mots, doit-on 'désinfecter' le fichier, ou carrément le supprimer?

 

Également, en essayant un autre anti-spyware aujourd'hui (celui qui est intégré à Super AdBlocker), j'ai réussi à obtenir un peu plus d'info, faute d'avoir pu me débarasser du problème... Il a détecté que le trojan s'était également infiltré dans le registre, via les quatres clés suivantes:

 

HKCR\CLSID\{25AB7565-047D-4F41-BD72-FDA1875779F8}

HKCR\CLSID\{25AB7565-047D-4F41-BD72-FDA1875779F8}\InprocServer32

HKCR\CLSID\{25AB7565-047D-4F41-BD72-FDA1875779F8}\InprocServer32#ThreadingModel

HKLM\Software\Classes\CLSID\{25AB7565-047D-4F41-BD72-FDA1875779F8}

 

Malheureusement, il n'a pas été capable de les effacer...

(Il est quand même curieux que ces clés n'apparaissent pas dans le log de HJT que j'ai posté, non?)

 

Ce qui m'amène à ma dernière question (du moins pour ce soir )...

3- Ayant ces infos en main, serait-il possible de se débarasser de ce foutu trojan 'manuellement', c-à-d en utilisant RegEdit pour modifier le registre, et supprimer le fichier en utilisant un utilitaire tel que CCleaner ou bien encore le 'Secure Shredder' de Spybot S&D?

 

Merci beaucoup!

[angelique]

**suis ces instructions:

 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

*Ton AV peut s'exiter sur Nircmd.exe donc tu l'autorises, tu desactiveras temporairement ton AV le temps d'executer ComboFix

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

[VinDSL]

Avant d'essayer un x-ième programme anti-spyware (parce que la liste de ceux déja essayés commence sérieusement à être très longue, et aucun jusqu'à maintenant ne donne de véritables résultats), ce serait GRANDEMENT apprécié si toi ou un autre expert en sécurité pourrait d'abord répondre à ces quelques questions:

SVP! Ce serait fortement apprécié, et surement très utile aussi!

Si tu n'as pas la réponse à ces questions, surtout n'hésites pas à demander l'avis d'un autre expert en la matière!

 

J'vais tout de même essayer ComboFix, mais j'me fais pas trop d'attentes...

[VinDSL]

Et voila...

 

ComboFix 08-01-28.2 - viNce 2008-01-28 9:44:39.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.244 [GMT -5:00]

Running from: C:\Documents and Settings\viNce\Desktop\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2007-12-28 to 2008-01-28 )))))))))))))))))))))))))))))))

.

 

2008-01-27 19:22 . 2008-01-27 19:22 <DIR> d-------- C:\VundoFix Backups

2008-01-27 12:17 . 2008-01-27 17:06 <DIR> d-------- C:\Program Files\SuperAdBlocker.com

2008-01-27 12:17 . 2008-01-27 12:17 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\SuperAdBlocker.com

2008-01-27 12:12 . 2008-01-27 12:16 <DIR> d-------- C:\Program Files\BHOZapper

2008-01-27 10:10 . 2008-01-27 21:42 <DIR> d-------- C:\Registry Backup

2008-01-27 09:46 . 2008-01-27 09:46 <DIR> d-------- C:\Program Files\CCleaner

2008-01-23 00:10 . 2005-08-25 18:18 118,784 --a------ C:\WINDOWS\system32\MSSTDFMT.DLL

2008-01-23 00:10 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX

2008-01-22 23:09 . 2008-01-22 23:17 1,494 --a------ C:\WINDOWS\system32\tmp.reg

2008-01-22 21:42 . 2008-01-22 21:44 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\AVG7

2008-01-22 21:02 . 2008-01-22 21:02 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-01-22 21:02 . 2008-01-22 21:02 1,406 --a------ C:\WINDOWS\system32\Help.ico

2008-01-22 20:50 . 2008-01-22 20:57 <DIR> d-------- C:\WINDOWS\BDOSCAN8

2008-01-20 22:30 . 2008-01-20 22:30 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\Grisoft

2008-01-20 22:30 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-01-20 22:28 . 2008-01-20 22:29 <DIR> d-------- C:\Program Files\Windows Malware Removal Tool

2008-01-20 11:41 . 2008-01-20 11:41 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\WinPatrol

2008-01-20 11:34 . 2008-01-27 09:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-01-20 11:18 . 2008-01-20 11:18 <DIR> d-------- C:\Program Files\Trend Micro

2008-01-20 11:09 . 2008-01-20 11:09 4,096 --a------ C:\WINDOWS\d3dx.dat

2008-01-20 10:56 . 2008-01-20 10:56 <DIR> d-------- C:\Program Files\PC Wizard 2008

2008-01-20 10:56 . 2007-09-15 15:11 27,136 --a------ C:\WINDOWS\system32\PCWizard.cpl

2008-01-20 10:41 . 2008-01-20 10:44 <DIR> d-------- C:\Program Files\CPU-Z

2008-01-19 13:33 . 2008-01-19 13:33 <DIR> d-------- C:\Program Files\Sega GENS

2008-01-10 17:22 . 2008-01-28 09:51 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\WTablet

2008-01-10 17:21 . 2008-01-10 17:21 <DIR> d-------- C:\WINDOWS\system32\WTablet

2008-01-10 17:21 . 2008-01-10 17:22 <DIR> d-------- C:\Program Files\Tablet

2008-01-10 17:21 . 2007-04-13 16:19 2,659,888 --------- C:\WINDOWS\system32\PenTablet.cpl

2008-01-10 17:21 . 2007-03-30 19:45 1,378,779 --------- C:\WINDOWS\system32\PenTablet.znc

2008-01-10 17:21 . 2007-04-13 16:32 1,189,424 --------- C:\WINDOWS\system32\Tablet.exe

2008-01-10 17:21 . 2007-04-13 16:07 124,464 --------- C:\WINDOWS\system32\Wintab32.dll

2008-01-10 17:21 . 2007-02-16 13:30 12,848 --a------ C:\WINDOWS\system32\drivers\wacomvhid.sys

2008-01-10 17:21 . 2007-02-16 14:12 11,312 --a------ C:\WINDOWS\system32\drivers\wacommousefilter.sys

2007-12-29 16:38 . 2007-12-29 16:38 <DIR> d-------- C:\Documents and Settings\viNce\Application Data\COWON

2007-12-29 16:36 . 2007-12-29 17:21 <DIR> d-------- C:\Program Files\COWON

2007-12-29 16:35 . 2007-12-29 16:47 <DIR> d-------- C:\Program Files\JetAudio

2007-12-29 16:35 . 2007-12-29 16:35 <DIR> d-------- C:\Program Files\Common Files\COWON

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-27 23:46 --------- d-----w C:\Documents and Settings\viNce\Application Data\AVG7

2008-01-27 17:17 --------- d-----w C:\Program Files\Install Files

2008-01-27 17:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-01-21 03:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft

2008-01-20 22:30 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-20 22:20 --------- d-----w C:\Program Files\Common Files\Adobe

2008-01-19 23:27 --------- d-----w C:\Program Files\CyberLink DVD Solution

2008-01-07 15:09 --------- d-----w C:\Documents and Settings\viNce\Application Data\Canon

2007-12-11 00:31 --------- d-----w C:\Program Files\Winamp

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25AB7565-047D-4F41-BD72-FDA1875779F8}]

2004-08-04 02:56 94208 --a------ C:\WINDOWS\system32\dpnadd.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\{A08FB30D-51C4-4E54-AA5E-FF18739802EA}]

@=Mediafour Mac Volume Icons

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:56 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 03:06 7311360]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 03:06 86016]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 09:05 579072]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-03 14:09 282624]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-10 00:28 36352]

"MediafourGettingStartedWithMacDrive6"="C:\Program Files\Mediafour\MacDrive\MacDrive.exe" [2005-03-13 01:36 86016]

"combofix"="C:\ComboFix\kmd.exe" [2004-08-04 02:56 388608]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 02:56 15360]

"Microsoft Update"="vpc32.exe" []

"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 08:01 219136]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"RunNarrator"="Narrator.exe" [2004-08-04 02:56 53760 C:\WINDOWS\system32\narrator.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kbddrv]

kbddrv.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd

 

R0 MDPMGRNT;MDPMGRNT;C:\WINDOWS\system32\drivers\MDPMGRNT.sys [2004-10-18 08:17]

R0 umpfofga;umpfofga;C:\WINDOWS\system32\drivers\otagzrxv.dat []

R1 MDFSYSNT;MDFSYSNT;C:\WINDOWS\system32\drivers\MDFSYSNT.sys [2004-09-27 08:56]

R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 14:12]

R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 13:30]

R3 WinDriver;WinDriver Kernel Module;C:\WINDOWS\system32\Drivers\windrvr.sys [2003-01-09 20:13]

S1 SABKUTIL;SABKUTIL;C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABKUTIL.sys []

S3 bDMusicb;bDMusicb;C:\DOCUME~1\viNce\LOCALS~1\Temp\bDMusicb.sys []

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-28 09:52:12

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\Tablet.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\WINDOWS\system32\Tablet.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

.

**************************************************************************

.

Completion time: 2008-01-28 9:55:53 - machine was rebooted [viNce]

ComboFix-quarantined-files.txt 2008-01-28 14:55:49

.

2008-01-09 19:02:50 --- E O F ---

[angelique]

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
umpfofga
bDMusicb

File::
C:\DOCUME~1\viNce\LOCALS~1\Temp\bDMusicb.sys
C:\WINDOWS\system32\dpnadd.dll
C:\WINDOWS\system32\drivers\otagzrxv.dat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25AB7565-047D-4F41-BD72-FDA1875779F8}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kbddrv]

 

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

* Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

**Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum