Au secours !

[Jorginho67]

Bon, ça m'a l'air tout propre.

 

Pour nettoyer les outils téléchargés pendant cette désinfection :

 

Télécharge http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe ToolsCleaner de A.Roshtein sur ton Bureau.

 

Double-clique sur ToolsCleaner2.bat et laisse le travailler.

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Tu pourras, si tu le souhaites, te servir des Options facultatives.

- Point de Restauration.

- Corbeille. -------------------------------------------> conseillé

- Nettoyage des fichiers Temporaires.----------> conseillé

- Sauvegarde du registre.

Clique sur quitter, pour que le rapport puisse se créer.

 

Ferme le rapport qui s'ouvre, et poste le dans ta prochaine réponse.

Il se trouve a la racine du disque C:\TCleaner.txt

 

On pourra finaliser avec un petit nettoyage pour fignoler tout ça !

 

Bonne soirée.

[angelique]

Bon, ça m'a l'air tout propre.

 

 

ç'est pas bon du tout Frank Castle

 

-------------c'est bourré de RK-------------------

 

 

Mâalin

 

------

 

**relance Gmer comme precedemment , onglet rootkit, scan,et arrete le scan

 

**ouvre ton bloc note [executer---notepad], copie\colle le contenu du cadre ci dessous,et enregistre le sur ton bureau sous le nom de >> blurp.bat

Type de fichier "tous les fichiers"<<<<< c'est tres important

 

gmer.exe -del service wer32
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wer32"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wer32"
gmer.exe -del file "C:\WINDOWS\system32\jkghje.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\Qva72.sys"
gmer.exe -reboot

 

Double clic sur blurp.bat ,ça va etre tres rapide et ton pc devrait rebooter

 

**au reboot telecharge::

 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Si ton av couine , desactive le temporairement le temps d'executer ComboFix.

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

NE TOUCHE A RIEN JUSQU'A LA FIN DU SCAN ET A L'APPARITION DU RAPPORT [que tu posteras!!]

 

 

 

[Jorginho67]

Bonjour les filles...

 

Oupsss quel

 

Donc, le rapport AVG m'a dit : 0 rootkits found, et même congratlations je crois icon_grin6.gif

 

J'ai cru qu' AVG Anti-Rootkit avait fait son boulot, j'aurais du re vérifier...... ( vu l'heure tardive, je devais avoir les paupieres lourdes...)

 

Vraiment désolé Mâalin......

 

 

Merci Angélique ( je te dois un resto sur ce coup là )

 

@+

[Mâalin]

Coucou !

 

C'est re moi. Pas eu beaucoup de temps hier entre les cours, le boulot, le foot ...^^

 

Surtout pas eu le temps de m'occuper de mon ordi convenablement.

 

Mais ca y est, j'ai tout fini, je crois^^

 

J'ai fait un gmer :

 

GMER 1.0.14.14116 - http://www.gmer.net

Rootkit scan 2008-02-13 19:06:02

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xB8000040] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xB7FFC930] <-- ROOTKIT !!!

SSDT \??\C:\WINDOWS\system32\jkghje.dll ZwCreateKey [0xF76B8A2B] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xB8000510] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xB8006870] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xB8006AA0] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xB8009FD0] <-- ROOTKIT !!!

SSDT BA256D4C ZwCreateThread

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xB8000600] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xB7FFCF20] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xB80086E0] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xB8008440] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xB8006580] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xB80088B0] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xB7FFCD70] <-- ROOTKIT !!!

SSDT \??\C:\WINDOWS\system32\jkghje.dll ZwOpenKey [0xF76B8ADF] <-- ROOTKIT !!!

SSDT BA256D38 ZwOpenProcess

SSDT BA256D3D ZwOpenThread

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xB8009250] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xB8008CB0] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xB7FFFC00] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xB8009080] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xB8000220] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xB7FFD120] <-- ROOTKIT !!!

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xB8008140] <-- ROOTKIT !!!

SSDT BA256D47 ZwTerminateProcess

SSDT BA256D42 ZwWriteVirtualMemory

 

---- Kernel code sections - GMER 1.0.14 ----

 

.text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [ 10, 05, 00, B8, 70, 68, 00, ... ]

? C:\WINDOWS\system32\drivers\Qva72.sys Accès refusé.

? srescan.sys Le fichier spécifié est introuvable. !

.text jkghje.dll F76B80F2 1159 Bytes [ B7, 58, 3C, 81, 3C, 18, 50, ... ]

.text jkghje.dll F76B857A 96 Bytes [ 00, 00, 00, 00, 00, 00, 00, ... ]

.text jkghje.dll F76B85DB 171 Bytes [ 78, C1, 43, 45, 79, C1, 42, ... ]

.text jkghje.dll F76B8687 53 Bytes [ 00, 00, 10, 00, 00, 10, 00, ... ]

.text jkghje.dll F76B86BD 61 Bytes [ 00, 00, 00, 38, 00, 00, 00, ... ]

.text ...

.text C:\WINDOWS\system32\jkghje.dll section is writeable [0xF76B8000, 0x6AA7, 0xE8000020]

? C:\WINDOWS\system32\jkghje.dll Le fichier spécifié est introuvable.

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program Files\MSN Messenger\MsnMsgr.Exe[2488] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 004DE392 C:\Program Files\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [b8004CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [b80051C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [b8005320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [b8004E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [b8004E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [b8004CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [b80051C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [b8005320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [b8004CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [b8005320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [b80051C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [b8004E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [b8005320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [b80051C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [b8004CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [b8004E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [b8004CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [b80051C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [b8005320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [b8012330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [b8004CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [b8004E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [b8005320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [b80051C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [b7FFD670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [b7FFD5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [b7FFD770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [b7FFD2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

---- Devices - GMER 1.0.14 ----

 

Device \FileSystem\Ntfs \Ntfs jkghje.dll

 

AttachedDevice \FileSystem\Ntfs \Ntfs Qva72.sys

 

Device \FileSystem\Udfs \UdfsCdRom Qva72.sys

Device \FileSystem\Mup \Dfs Qva72.sys

Device \FileSystem\Udfs \UdfsDisk Qva72.sys

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Ip jkghje.dll

Device \FileSystem\RAW \Device\RawTape Qva72.sys

Device \FileSystem\MRxDAV \Device\WebDavRedirector Qva72.sys

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Tcp jkghje.dll

Device \FileSystem\Mup \Device\Mup Qva72.sys

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Udp jkghje.dll

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\RawIp jkghje.dll

Device \FileSystem\RAW \Device\RawDisk Qva72.sys

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver Qva72.sys

Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\IPMULTICAST jkghje.dll

Device \FileSystem\MRxSmb \Device\LanmanRedirector Qva72.sys

Device \FileSystem\RAW \Device\RawCdRom Qva72.sys

Device \FileSystem\Mup \Device\WinDfs\Root Qva72.sys

Device \FileSystem\Cdfs \Cdfs Qva72.sys

 

---- Services - GMER 1.0.14 ----

 

Service C:\WINDOWS\system32\jkghje.dll (*** hidden *** ) [sYSTEM] wer32 <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\wer32@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\wer32@Start 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\wer32@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\wer32@ImagePath \??\C:\WINDOWS\system32\jkghje.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\wer32\Security

Reg HKLM\SYSTEM\CurrentControlSet\Services\wer32\Security@Security 0x01 0x00 0x14 0x80 ...

Reg HKLM\SYSTEM\ControlSet002\Services\wer32@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\wer32@Start 1

Reg HKLM\SYSTEM\ControlSet002\Services\wer32@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\wer32@ImagePath \??\C:\WINDOWS\system32\jkghje.dll

Reg HKLM\SYSTEM\ControlSet002\Services\wer32\Security

Reg HKLM\SYSTEM\ControlSet002\Services\wer32\Security@Security 0x01 0x00 0x14 0x80 ...

 

---- EOF - GMER 1.0.14 ----

 

 

Ensuite, j'ai fait l'opération avec le blurp mais des que je l'ai lancé, jai eu un message "Gmer a rencontré un probleme" puis "DeletKey : parametre incorrect" et a chaque nouvelle ligne du tableau, j'i eu un message "Gmer a rencontré un probleme, envoyer/ne pas envoyer".

 

Ca a redémarré mon ordi.

 

J'ai installé ComboFix puis l'ai lancé, voici le rapport :

 

ComboFix 08-02-14.1 - Mâalin 2008-02-14 2:34:56.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1093 [GMT 1:00]

Endroit: C:\Documents and Settings\Mâalin\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\3_exception.nls

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_SYSLIBRARY

-------\runtime

-------\SysLibrary

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-14 to 2008-02-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-13 02:31 . 2008-02-14 02:40 368,672 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-02-13 02:31 . 2008-02-14 02:37 5,348 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-02-13 02:28 . 2008-02-13 02:29 <REP> d-------- C:\WINDOWS\system32\fr-fr

2008-02-13 02:21 . 2008-02-13 02:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-02-13 02:19 . 2008-02-13 02:24 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat

2008-02-13 02:18 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll

2008-02-13 02:18 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll

2008-02-13 02:18 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll

2008-02-13 02:18 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll

2008-02-13 02:17 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe

2008-02-13 02:17 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll

2008-02-13 02:10 . 2008-02-13 02:19 <REP> d-------- C:\WINDOWS\system32\ZoneLabs

2008-02-13 02:10 . 2008-02-13 02:10 <REP> d-------- C:\Program Files\Zone Labs

2008-02-13 02:10 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll

2008-02-13 02:10 . 2008-02-14 02:38 358,830 --a------ C:\WINDOWS\system32\vsconfig.xml

2008-02-13 02:09 . 2008-02-14 02:36 <REP> d-------- C:\WINDOWS\Internet Logs

2008-02-13 00:50 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys

2008-02-12 21:11 . 2008-02-12 21:11 <REP> d-------- C:\VundoFix Backups

2008-02-12 21:05 . 2008-02-14 02:28 250 --a------ C:\WINDOWS\gmer.ini

2008-02-12 16:49 . 2008-02-12 16:49 <REP> d-------- C:\_OTMoveIt

2008-02-12 13:12 . 2008-02-12 13:17 <REP> d-------- C:\fixwareout

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-02-12 01:10 . 2007-11-30 16:54 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-02-12 01:10 . 2007-11-30 16:29 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-02-12 00:55 . 2008-02-12 00:55 <REP> d-------- C:\Program Files\Avira

2008-02-12 00:55 . 2008-02-12 00:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-11 22:02 . 2007-06-13 14:22 1,078,482 --a------ C:\WINDOWS\xgwdrjp.exe

2008-02-11 22:02 . 2007-06-13 14:22 1,037,312 --a------ C:\WINDOWS\rxhkvnr.exe

2008-02-11 22:02 . 2008-02-11 22:02 2,563 --a------ C:\WINDOWS\image.jpg

2008-02-11 11:18 . 2008-02-11 12:07 <REP> d-------- C:\Program Files\PKR

2008-01-18 14:15 . 2008-01-18 14:15 268 --ah----- C:\sqmdata01.sqm

2008-01-18 14:15 . 2008-01-18 14:15 244 --ah----- C:\sqmnoopt01.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-13 18:08 303,104 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp

2008-02-13 18:08 1,334,272 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp

2008-02-13 01:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-13 01:07 --------- d-----w C:\Program Files\Java

2008-01-27 16:05 --------- d-----w C:\Program Files\World of Warcraft

2008-01-10 15:58 --------- d-----w C:\Program Files\VideoLAN

2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys

2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll

2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

2007-12-04 01:16 339,968 ----a-w C:\WINDOWS\system32\WDBtnMgr.exe

2007-11-30 18:33 155,995 ----a-w C:\WINDOWS\java\Packages\EQKUQ2CX.ZIP

2007-11-30 16:47 737,280 ----a-w C:\WINDOWS\iun6002.exe

2005-01-27 16:51 400,288 ----a-w C:\WINDOWS\inf\WPN311\WPN311.sys

2005-01-27 09:59 35,232 ----a-w C:\WINDOWS\inf\WPN311\ME_INST.EXE

2005-01-27 09:59 26,112 ----a-w C:\WINDOWS\inf\WPN311\install.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2006-09-08 17:10 1085440]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-01-30 13:11 3497984]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 09:11 1388544]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2004-08-06 07:27 860160]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 14:43 7630848]

"GameFace Messenger"="C:\Program Files\GameFace Messenger\GameFace.exe" [2006-08-02 16:06 2048000]

"itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2006-11-22 02:08 813912]

"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 00:52 849280]

"MPSWiFiManager"="C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe" [2005-04-11 16:19 135168]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

"WD Button Manager"="WDBtnMgr.exe" [2007-12-04 02:16 339968 C:\WINDOWS\system32\WDBtnMgr.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-12 03:09 185896]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 00:58 249896]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

 

R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2005-09-27 10:02]

S0 Qva72;Qva72;C:\WINDOWS\system32\Drivers\Qva72.sys []

S3 EnumChip;EnumChip;E:\VGART\EnumChip.sys []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\install.EXE id= ver=1.0.0.0

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-14 02:39:56

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\NETGEAR\WPN311\wlancfg5.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-14 2:41:09 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-14 01:41:03

.

2008-02-13 18:13:29 --- E O F ---

 

 

Voili voilou.

En esperant que je n'ai pas mis trop longtemps a reposter...

 

Bonne nuit !

[angelique]

ok, on va les avoir

 

1/Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

 

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

On va l'utiliser apres la suite ci dessous

 

2/ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
Qva72

File::
C:\WINDOWS\system32\Drivers\Qva72.sys
C:\WINDOWS\xgwdrjp.exe
C:\WINDOWS\rxhkvnr.exe

Folder::
C:\_OTMoveIt
C:\VundoFix Backups

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

* Une fenêtre bleue va apparaitre: laisse le travailler

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

 

 

3/Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans, dont chez toi wer32 et jkghje.dll normalement trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec le rapport de ComboFix

[Mâalin]

Bah vi, je sais bien qu'on va y arriver

Enfin, tu es en train de me dire comment y arriver héhé.

 

Alors, tu m'as demandé 2 rapports, les voici.

 

 

Le rapport ComboFix :

 

 

ComboFix 08-02-14.1 - Mâalin 2008-02-14 12:19:40.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1076 [GMT 1:00]

Endroit: C:\Documents and Settings\Mâalin\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Mâalin\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE

C:\WINDOWS\rxhkvnr.exe

C:\WINDOWS\system32\Drivers\Qva72.sys

C:\WINDOWS\xgwdrjp.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\_OTMoveIt

C:\_OTMoveIt\MovedFiles\02122008_164916.log

C:\_OTMoveIt\MovedFiles\02122008_164916.res

C:\_OTMoveIt\MovedFiles\02122008_164937.log

C:\_OTMoveIt\MovedFiles\02122008_164937.res

C:\_OTMoveIt\MovedFiles\02122008_164937\WINDOWS\SYSTEM32\LogCrypt.dll

C:\_OTMoveIt\MovedFiles\02122008_165400.log

C:\_OTMoveIt\MovedFiles\02122008_165400.res

C:\_OTMoveIt\MovedFiles\02122008_165600.log

C:\_OTMoveIt\MovedFiles\02122008_165600.res

C:\VundoFix Backups

C:\WINDOWS\rxhkvnr.exe

C:\WINDOWS\xgwdrjp.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_QVA72

-------\Qva72

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-14 to 2008-02-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-14 12:17 . 2008-02-14 12:18 <REP> d-------- C:\SDFix

2008-02-13 02:31 . 2008-02-14 12:29 430,112 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-02-13 02:31 . 2008-02-14 12:28 6,068 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-02-13 02:28 . 2008-02-13 02:29 <REP> d-------- C:\WINDOWS\system32\fr-fr

2008-02-13 02:21 . 2008-02-13 02:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-02-13 02:19 . 2008-02-13 02:24 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat

2008-02-13 02:18 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll

2008-02-13 02:18 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll

2008-02-13 02:18 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll

2008-02-13 02:18 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll

2008-02-13 02:17 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe

2008-02-13 02:17 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll

2008-02-13 02:10 . 2008-02-13 02:19 <REP> d-------- C:\WINDOWS\system32\ZoneLabs

2008-02-13 02:10 . 2008-02-13 02:10 <REP> d-------- C:\Program Files\Zone Labs

2008-02-13 02:10 . 2007-12-13 19:27 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll

2008-02-13 02:10 . 2008-02-14 12:29 358,830 --a------ C:\WINDOWS\system32\vsconfig.xml

2008-02-13 02:09 . 2008-02-14 12:23 <REP> d-------- C:\WINDOWS\Internet Logs

2008-02-13 00:50 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys

2008-02-12 21:05 . 2008-02-14 02:28 250 --a------ C:\WINDOWS\gmer.ini

2008-02-12 13:12 . 2008-02-12 13:17 <REP> d-------- C:\fixwareout

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-02-12 01:10 . 2007-11-30 16:54 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-02-12 01:10 . 2007-11-30 16:29 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-02-12 01:10 . 2007-11-30 16:29 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-02-12 00:55 . 2008-02-12 00:55 <REP> d-------- C:\Program Files\Avira

2008-02-12 00:55 . 2008-02-12 00:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-11 22:02 . 2008-02-11 22:02 2,563 --a------ C:\WINDOWS\image.jpg

2008-02-11 11:18 . 2008-02-11 12:07 <REP> d-------- C:\Program Files\PKR

2008-01-18 14:15 . 2008-01-18 14:15 268 --ah----- C:\sqmdata01.sqm

2008-01-18 14:15 . 2008-01-18 14:15 244 --ah----- C:\sqmnoopt01.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-13 18:08 303,104 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp

2008-02-13 18:08 1,334,272 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp

2008-02-13 01:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-13 01:07 --------- d-----w C:\Program Files\Java

2008-01-27 16:05 --------- d-----w C:\Program Files\World of Warcraft

2008-01-10 15:58 --------- d-----w C:\Program Files\VideoLAN

2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys

2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll

2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

2007-12-04 01:16 339,968 ----a-w C:\WINDOWS\system32\WDBtnMgr.exe

2007-11-30 18:33 155,995 ----a-w C:\WINDOWS\java\Packages\EQKUQ2CX.ZIP

2007-11-30 16:47 737,280 ----a-w C:\WINDOWS\iun6002.exe

2005-01-27 16:51 400,288 ----a-w C:\WINDOWS\inf\WPN311\WPN311.sys

2005-01-27 09:59 35,232 ----a-w C:\WINDOWS\inf\WPN311\ME_INST.EXE

2005-01-27 09:59 26,112 ----a-w C:\WINDOWS\inf\WPN311\install.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]

"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2006-09-08 17:10 1085440]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-01-30 13:11 3497984]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 09:11 1388544]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2004-08-06 07:27 860160]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 14:43 7630848]

"GameFace Messenger"="C:\Program Files\GameFace Messenger\GameFace.exe" [2006-08-02 16:06 2048000]

"itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2006-11-22 02:08 813912]

"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-02-06 00:52 849280]

"MPSWiFiManager"="C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe" [2005-04-11 16:19 135168]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

"WD Button Manager"="WDBtnMgr.exe" [2007-12-04 02:16 339968 C:\WINDOWS\system32\WDBtnMgr.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-12 03:09 185896]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 00:58 249896]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

 

R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2005-09-27 10:02]

S3 EnumChip;EnumChip;E:\VGART\EnumChip.sys []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\install.EXE id= ver=1.0.0.0

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-14 12:30:14

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\NETGEAR\WPN311\wlancfg5.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-14 12:31:43 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-14 11:31:37

ComboFix2.txt 2008-02-14 01:41:09

.

2008-02-13 18:13:29 --- E O F ---

 

 

Et le rapport SDFix :

 

 

 

SDFix: Version 1.142

 

Run by Mâalin on 14/02/2008 at 12:36

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

 

 

Final Check:

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-14 12:58:07

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 189

 

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

Fri 30 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT1.tmp"

 

Finished!

 

 

 

Voila Mam'zelle ( ou Madame )

 

Merci encore pour ton aide en tout cas

 

@+ tard

[angelique]

OK

 

*supprime c:\SDFix et son rapport

*reposte un nouveau rapport Gmer stp!

[Mâalin]

Re!

 

Serait-ce la lumière au bout du tunnel?^^

 

Donc, ce rapport Gmer :

 

GMER 1.0.14.14116 - http://www.gmer.net

Rootkit scan 2008-02-14 21:00:00

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xB7A7E040]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xB7A7A930]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xB7A85A80]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xB7A7E510]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xB7A84870]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xB7A84AA0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xB7A87FD0]

SSDT F7AAF0FC ZwCreateThread

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xB7A7E600]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xB7A7AF20]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xB7A866E0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xB7A86440]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xB7A84580]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xB7A868B0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xB7A7AD70]

SSDT F7AAF0E8 ZwOpenProcess

SSDT F7AAF0ED ZwOpenThread

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xB7A87250]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xB7A86CB0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xB7A7DC00]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xB7A87080]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xB7A7E220]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xB7A7B120]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xB7A86140]

SSDT F7AAF0F7 ZwTerminateProcess

SSDT F7AAF0F2 ZwWriteVirtualMemory

 

Code 8B557EF3 IoWriteOperationCount

 

---- Kernel code sections - GMER 1.0.14 ----

 

.text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [ 10, E5, A7, B7, 70, 48, A8, ... ]

? srescan.sys Le fichier spécifié est introuvable. !

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program Files\MSN Messenger\MsnMsgr.Exe[2112] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 004DE392 C:\Program Files\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [b7A82CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [b7A831C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [b7A83320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [b7A82E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [b7A82E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [b7A82CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [b7A831C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [b7A83320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [b7A82CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [b7A83320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [b7A831C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [b7A82E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [b7A83320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [b7A831C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [b7A82CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [b7A90330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [b7A82E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [b7A82CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [b7A831C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [b7A83320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [b7A82CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [b7A82E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [b7A83320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [b7A831C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [b7A7B670] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [b7A7B5C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [b7A7B770] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [b7A7B2D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

---- Devices - GMER 1.0.14 ----

 

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

---- EOF - GMER 1.0.14 ----

 

 

Voila, A plus tard !

[angelique]

c'est parfait, tes RK ont été éliminés.

 

**copie\colle la ligne ci dessous dans executer puis valide par "enter" pour desinstaller ComboFix:

 

ComboFix /u

 

**telecharge sur ton bureau >> - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected et patiente jusqu'à la fin du nettoyage

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

**Télécharge ewido anti-spyware micro scanner sur ton bureau.

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.le resident d'Antivir sera aussi à l'ecoute,donc delete si infection trouvés
  
• Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.Tu me le posteras
  
• Poste le dans ta prochaine réponse.
  

• Nb, clique sur Remove infections