Rapport Hijacktis!

[Mamzel stel78]

Voila mon rapport Hijackthis , je remercie ceux qui pourront m'éclaircir sur les éventuels problème de mon PC qui a était infecté par des trojans qui changeaient les configuration de mon système :

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:53:54, on 13/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

D:\WINDOWS\System32\FTRTSVC.exe

D:\Documents and Settings\Jean-Christophe\Bureau\Mozilla Firefox\firefox.exe

D:\Program Files\Alwil Software\Avast4\ashSimpl.exe

D:\WINDOWS\explorer.exe

D:\Program Files\Real\RealPlayer\realplay.exe

D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

D:\Documents and Settings\Jean-Christophe\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/md5auth.srf?lc=1036

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SearchPageURL.dll

O1 - Hosts: 124.217.252.77 www.bravesentry.com

O1 - Hosts: 124.217.252.77 bravesentry.com

O1 - Hosts: 124.217.252.78 secure.isoftpay.com

O1 - Hosts: 124.217.252.77 www.bravesentry.com

O1 - Hosts: 124.217.252.77 bravesentry.com

O1 - Hosts: 124.217.252.78 secure.isoftpay.com

O1 - Hosts: 124.217.252.77 www.bravesentry.com

O1 - Hosts: 124.217.252.77 bravesentry.com

O1 - Hosts: 124.217.252.78 secure.isoftpay.com

O1 - Hosts: 124.217.252.77 www.bravesentry.com

O1 - Hosts: 124.217.252.77 bravesentry.com

O1 - Hosts: 124.217.252.78 secure.isoftpay.com

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [WMedia32] wmedia32.exe

O4 - HKLM\..\Run: [WindowsServicesStartup] D:\DOCUME~1\Jean-Christophe\Local Settings\Temp\svchost.exe 1

O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [taskmon] D:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemSv121] D:\WINDOWS\system32\n2ewma1xxsv234.exe

O4 - HKLM\..\Run: [system] D:\WINDOWS\system32\wind32.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [spySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [sPAMfighter Agent] "D:\Program Files\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [runtime.exe] D:\WINDOWS\system32\runtime.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [OPTENET_GUI] D:\PROGRA~1\Controle Parental\bin\optgui.exe

O4 - HKLM\..\Run: [Office SturtUp] osa9.exe

O4 - HKLM\..\Run: [NSLauncher] D:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Flashget] D:\Program Files\FlashGet\flashget.exe /min

O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] "D:\Program Files\Alwil Software\Avast4\ashDisp.exe"

O4 - HKCU\..\Run: [WOOKIT] D:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [NBJ] "D:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [LClock] lclock.exe

O4 - HKCU\..\Run: [iDMan] D:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [Free Uploader Oe Integration] D:\Program Files\Free Download Manager\FUM\fumoei.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OuterinfoUpdate] "D:\Program Files\Outerinfo\OuterinfoUpdate.exe"

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [bitTorrent] "D:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [service Pack 1] D:\WINDOWS\system32\vedxg6ame4.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Spy Sweeper Fix.lnk = D:\Program Files\Webroot\Spy Sweeper\SpySweeperFix.bat

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip32\WZQKPICK.EXE

O8 - Extra context menu item: &Tout télécharger avec FlashGet - D:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Download all links with IDM - D:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - D:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download with IDM - D:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://D:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\PROMT98\promtie4\promtie5.htm

O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - D:\Program Files\PROMT98\promtie4\promtie5.htm

O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\PROMT98\promtie4\options.htm

O9 - Extra 'Tools' menuitem: Personnalisez traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - D:\Program Files\PROMT98\promtie4\options.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - D:\Program Files\Free Download Manager\FUM\fumiebtn.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C6BEDCB-1DE0-469E-9722-616C2FFA9BD7}: NameServer = 192.168.1.1

O21 - SSODL: SrvWin - {81bef527-973e-4f73-aa8e-6e49939000c1} - D:\WINDOWS\Installer\{81bef527-973e-4f73-aa8e-6e49939000c1}\SrvWin.dll

O21 - SSODL: zip - {638dd954-4a90-4c3e-bce9-12abee47b2f3} - D:\WINDOWS\Installer\{638dd954-4a90-4c3e-bce9-12abee47b2f3}\zip.dll

O21 - SSODL: WinMain - {C231CF11-134F-3552-44AC-E685D962C63C} - D:\WINDOWS\system32\adduser32.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - D:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - D:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - D:\WINDOWS\system32\windows

O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: ServiceLayer - Nokia. - D:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe

 

--

End of file - 9988 bytes

[Mélusine46]

Bonjour,

 

J'ai trouvé ces lignes, à faire confirmer.

 

Bonne journée.

 

Infection Combo

Infection SmitFraud

Infection MSN

Infection SD

 

Processus malware

 

O1 - Hosts: 124.217.252.77 www.bravesentry.com => Infection Combo

O1 - Hosts: 124.217.252.77 bravesentry.com => Infection Combo

O1 - Hosts: 124.217.252.78 secure.isoftpay.com => Infection SmitFraud

O4 - HKLM\..\Run: [WindowsServicesStartup] D:\DOCUME~1\Jean-Christophe\Local Settings\Temp\svchost.exe 1 => Infection MSN

O4 - HKLM\..\Run: [taskmon] D:\WINDOWS\taskmon.exe => Infection SD

O4 - HKLM\..\Run: [systemSv121] D:\WINDOWS\system32\n2ewma1xxsv234.exe => Infection SD

O4 - HKLM\..\Run: [runtime.exe] D:\WINDOWS\system32\runtime.exe => Infection SD

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe => Infection SmitFraud

[Thanos]

salut,

 

Mamzel stel78, non seulement ton pc est lourdement infecté, mais en plus il s'agit d'une version crackée de Windows... je ne saurais te conseiller que d'achteter une vraie licence ou de passer à Linux!

WinLSD III est un Window XP SP2 soit disant "optimisé et très stable"...je ne sait pas quelles modifications ont réellement été faites, mais il y a des chances pour que la version soit bugguée et vulnérable aux malwares...

 

Je vais quand même t'aider à nettoyer ton pc ne serait ce que pour ne pas laisser repartir un pc infecté sur le net (qui en réinfectera d'autres à son tour!).

 

Télécharge combofix.exe de sUBs

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

Si tu ne vois pas le rapport au redémarrage de la machine, tu le trouveras ici > C:\ComboFix.txt

 

@+

[Mamzel stel78]

Merci beaucoup de m'aider si rapidement.Je tiens juste a dire que je ne m'y connait pas trop en informatique mais j'apprends et pour la version de windows c'est en fait un ami qui m'as donné cet ordinateur donc peut être est ce lui qui a installé cette version.

 

ComboFix 08-02-14.2 - Jean-Christophe 2008-02-14 12:38:37.1 - NTFSx86 DSREPAIR

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.226 [GMT 1:00]

Endroit: D:\Documents and Settings\Jean-Christophe\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

D:\WINDOWS\system32\efccy.dll

D:\Documents and Settings\Jean-Christophe\Application Data\install.dat

D:\WINDOWS\cookies.ini

D:\WINDOWS\system32\8192074441.dll

D:\WINDOWS\system32\awtqnkh.dll

D:\WINDOWS\system32\burito.ini

D:\WINDOWS\system32\burito3121-5087.sys

D:\WINDOWS\system32\drivers\KCKO48.sys

D:\WINDOWS\system32\drivers\symavc32.sys . . . . Echec de suppression

D:\WINDOWS\system32\drvrowr.dll

D:\WINDOWS\system32\efccy.dll

D:\WINDOWS\system32\fgykdovp.ini

D:\WINDOWS\system32\gwxnnlao.ini

D:\WINDOWS\system32\iifgghg.dll

D:\WINDOWS\system32\kr_done1

D:\WINDOWS\system32\mcrh.tmp

D:\WINDOWS\system32\mzqligwk.dllbox

D:\WINDOWS\system32\qqjboike.dll

D:\WINDOWS\system32\svcp.csv

D:\WINDOWS\system32\vx.tll

D:\WINDOWS\system32\winsub.xml

D:\WINDOWS\system32\yccfe.ini

D:\WINDOWS\system32\yccfe.ini2

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_KCKO48

-------\LEGACY_NDISWON

-------\LEGACY_ROSA

-------\LEGACY_SROSA

-------\LEGACY_SYMAVC32

-------\NdisWon

-------\nm

-------\burito3121-5087

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-14 to 2008-02-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-14 10:33 . 2008-02-14 10:33 167,936 --a------ D:\WINDOWS\system32\drivers\symavc32.sys

2008-02-13 22:11 . 2008-02-13 22:11 <REP> d--h----- D:\WINDOWS\system32\GroupPolicy

2008-02-13 15:25 . 2008-02-13 15:25 <REP> d-------- D:\Program Files\Avira

2008-02-13 15:25 . 2008-02-13 15:25 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Avira

2008-02-11 09:08 . 2008-02-12 18:27 18,368 --a------ D:\WINDOWS\system32\taskmon.sys

2008-02-10 23:01 . 2008-02-10 23:01 0 --a------ D:\WINDOWS\Pool.INI

2008-02-10 22:57 . 2008-02-10 22:57 <REP> d-------- D:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9

2008-02-10 22:54 . 2008-02-10 22:54 <REP> d-------- D:\Program Files\GameHouse

2008-02-10 22:54 . 2008-02-10 22:54 <REP> d-------- D:\Documents and Settings\Jean-Christophe\Application Data\GameHouse

2008-02-10 22:51 . 2008-02-10 22:51 0 --a------ D:\WINDOWS\LiveBilliards.INI

2008-02-10 22:47 . 2008-02-10 22:47 <REP> d-------- D:\Program Files\ReflexiveArcade

2008-02-10 17:55 . 2008-02-10 17:55 <REP> d-------- D:\Program Files\SysCleaner

2008-02-08 21:40 . 2008-02-08 21:40 0 --a------ D:\WINDOWS\tpp1

2008-02-08 16:17 . 2008-02-08 16:17 29 --a------ D:\WINDOWS\system32\fseoiwoe.tmp

2008-02-08 16:08 . 2008-02-08 16:08 54,764 --a------ D:\WINDOWS\system32\4fdw.dll

2008-02-08 16:07 . 2008-02-08 16:07 26,624 --a------ D:\WINDOWS\system32\byxyawt.VIR

2008-02-08 07:52 . 2007-04-05 12:16 626,688 --a------ D:\WINDOWS\system\msvcr80.dll

2008-02-06 11:39 . 1998-05-18 02:06 368,912 --a------ D:\WINDOWS\system32\vbar332.dll

2008-02-04 19:45 . 2008-02-04 19:45 <REP> d-------- D:\Program Files\Microsoft Games

2008-02-04 19:42 . 2008-02-08 22:36 <REP> d-------- D:\Program Files\Save

2008-02-04 19:41 . 2008-02-08 19:08 <REP> d-------- D:\Program Files\DaemonTools_WhenUSave_Installer

2008-02-04 19:41 . 2008-02-08 22:18 <REP> d-------- D:\Program Files\DAEMON Tools SearchBar

2008-02-04 19:40 . 2008-02-04 19:40 <REP> d-------- D:\Program Files\DAEMON Tools

2008-02-04 19:37 . 2008-02-04 19:37 639,224 --a------ D:\WINDOWS\system32\drivers\sptd.sys

2008-02-04 19:29 . 2005-07-16 02:39 374,272 --a------ D:\WINDOWS\system\mss32.dll

2008-02-04 19:27 . 2004-01-22 02:20 491,520 --a------ D:\WINDOWS\system\GRANNY.DLL

2008-02-04 19:22 . 2004-01-22 01:24 82,000 --a------ D:\WINDOWS\system\rockalldll.dll

2008-02-03 21:46 . 2008-02-13 15:39 <REP> d-------- D:\Program Files\Valve Lan

2008-02-01 11:00 . 2008-02-06 15:37 <REP> d-------- D:\Program Files\The All-Seeing Eye

2008-01-26 19:36 . 2008-01-30 22:59 <REP> d-------- D:\Documents and Settings\Jean-Christophe\Application Data\.ABC

2008-01-23 23:14 . 2008-01-26 13:27 <REP> d-------- D:\Documents and Settings\Jean-Christophe\Application Data\Podmailing

2008-01-22 19:44 . 2008-01-22 19:44 <REP> d-------- D:\Program Files\VDMSound

2008-01-22 19:26 . 2008-01-22 19:26 <REP> d-------- D:\Documents and Settings\Jean-Christophe\Application Data\GibbHill Properties Ltd

2008-01-20 17:30 . 2008-01-20 17:30 <REP> d-------- D:\Program Files\Ultimate Jewel

2008-01-20 15:09 . 2008-01-20 15:09 <REP> d-------- D:\Program Files\Webteh

2008-01-20 15:09 . 2008-02-08 21:08 <REP> d-------- D:\Program Files\AdVantage

2008-01-20 15:09 . 2008-01-20 15:09 <REP> d-------- D:\Documents and Settings\Jean-Christophe\Application Data\BSplayer Pro

2008-01-20 15:09 . 2008-01-23 08:23 <REP> d-------- D:\Documents and Settings\Jean-Christophe\Application Data\BSplayer

2008-01-16 16:21 . 2008-02-13 15:51 <REP> d-------- D:\Program Files\Angel Destiny's

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-14 09:44 --------- d-----w D:\Program Files\eMule

2008-02-14 09:34 --------- d-----w D:\Program Files\Wanadoo

2008-02-13 14:47 --------- d--h--w D:\Program Files\InstallShield Installation Information

2008-02-13 14:47 --------- d-----w D:\Documents and Settings\All Users\Application Data\BVRP Software

2008-02-13 14:43 --------- d-----w D:\Program Files\Panda Security

2008-02-13 14:40 --------- d-----w D:\Program Files\Diablo II

2008-02-13 14:35 --------- d-----w D:\Program Files\Steam

2008-02-13 10:11 --------- d-----w D:\Program Files\Temp

2008-02-12 05:55 --------- d-----w D:\Program Files\FlashGet

2008-02-09 23:33 344 ----a-w D:\Program Files\downloads.txt

2008-02-09 23:27 622 ----a-w D:\Program Files\downloads.bak

2008-02-08 17:52 --------- d-----w D:\Program Files\Alwil Software

2008-02-04 22:17 --------- d-----w D:\Program Files\SurfRobot

2008-02-04 22:15 --------- d-----w D:\Program Files\Fichiers communs\AVSMedia

2008-01-31 18:45 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\BitTorrent

2008-01-30 21:59 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\.ABC

2008-01-27 12:09 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\Free Download Manager

2008-01-21 22:05 --------- d-----w D:\Program Files\config

2008-01-08 00:27 --------- d-----w D:\Program Files\Symantec

2008-01-08 00:27 --------- d-----w D:\Program Files\Fichiers communs\Symantec Shared

2008-01-08 00:27 --------- d-----w D:\Documents and Settings\All Users\Application Data\Symantec

2008-01-08 00:26 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\Symantec

2008-01-07 06:08 --------- d-----w D:\Program Files\Incoming

2008-01-07 05:25 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\LG Electronics

2008-01-07 05:23 --------- d-----w D:\Program Files\LG Electronics

2008-01-07 05:22 --------- d-----w D:\Program Files\LG PC Suite 2

2008-01-04 17:52 --------- d-----w D:\Program Files\Notepad++

2008-01-04 17:52 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\Notepad++

2008-01-02 23:30 --------- d-----w D:\Program Files\danny_kay1710

2008-01-01 21:11 737,280 ----a-w D:\WINDOWS\iun6002.exe

2007-12-31 00:47 --------- d-----w D:\Program Files\Alcohol Soft

2007-12-30 11:38 --------- d-----w D:\Documents and Settings\All Users\Application Data\Raxco

2007-12-30 11:33 --------- d-----w D:\Program Files\Raxco

2007-12-30 11:33 --------- d-----w D:\Program Files\Fichiers communs\Raxco

2007-12-30 01:03 --------- d-----w D:\Program Files\Xilisoft

2007-12-29 20:23 --------- d-----w D:\Program Files\WinAVI MP4 Converter

2007-12-28 22:34 5,852 --sha-w D:\WINDOWS\system32\drivers\fidbox.idx

2007-12-28 22:34 407,584 --sha-w D:\WINDOWS\system32\drivers\fidbox.dat

2007-12-28 22:34 2,276 --sha-w D:\WINDOWS\system32\drivers\fidbox2.idx

2007-12-28 22:34 12,832 --sha-w D:\WINDOWS\system32\drivers\fidbox2.dat

2007-12-21 16:21 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\Yahoo!

2007-12-18 18:24 --------- d-----w D:\Program Files\Nokia

2007-12-18 18:23 --------- d-----w D:\Documents and Settings\Jean-Christophe\Application Data\InstallShield

2007-12-17 22:01 --------- d-----w D:\Documents and Settings\All Users\Application Data\InstallShield

2007-12-17 21:58 --------- d-----w D:\Program Files\Fichiers communs\InstallShield

2007-12-16 15:40 --------- d-----w D:\Program Files\Mozilla Firefox 3 Beta 1

2007-12-16 15:40 --------- d-----w D:\Program Files\DivX

2007-12-15 22:17 --------- d-----w D:\Program Files\WinZip32

2007-12-15 12:35 --------- d-----w D:\Program Files\PROMT98

2007-12-15 12:25 --------- d-----w D:\Program Files\skins

2007-12-15 12:24 --------- d-----w D:\Program Files\Lavasoft

2007-11-16 20:50 286,720 ----a-w D:\WINDOWS\iun506.exe

2007-11-14 00:35 73,216 ----a-w D:\WINDOWS\ST6UNST.EXE

2007-11-14 00:35 249,856 ------w D:\WINDOWS\Setup1.exe

2007-10-14 14:53 205 ----a-w D:\Program Files\league.txt

2007-10-14 14:53 165 ----a-w D:\Program Files\lastgame.ini

2007-09-06 19:17 560 ----a-w D:\Program Files\Global.sw

2007-07-27 14:43 25,600 ----a-w D:\Documents and Settings\Senderr\usbsermptxp.sys

2007-07-27 14:43 22,768 ----a-w D:\Documents and Settings\Senderr\usbsermpt.sys

2007-05-14 10:40 5,304,320 ----a-w D:\Program Files\emule.exe

2007-05-13 14:35 250,259 ----a-w D:\Program Files\changelog.ger.txt

2007-05-13 11:48 277,862 ----a-w D:\Program Files\changelog.txt

2007-05-13 11:30 15,146 ----a-w D:\Program Files\Template.eMuleSkin.ini

2007-04-30 16:47 72,220 ----a-w D:\Program Files\eMule Light.tmpl

2007-03-25 13:24 13,046 ----a-w D:\Program Files\readme.txt

2006-08-30 14:51 638,125 ----a-w D:\Program Files\eMule.chm

2006-07-03 11:26 115,247 ----a-w D:\Program Files\eMule.tmpl

2006-03-22 21:12 270,336 ----a-w D:\Program Files\LinkCreator.exe

2002-10-08 16:10 18,401 ----a-w D:\Program Files\license-GER.txt

2002-10-08 16:10 14,971 ----a-w D:\Program Files\license.txt

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0614d14b-05bf-4607-9194-2db5cdb0d0e7}]

D:\WINDOWS\system32\ruomvajc.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DB30F1E-538B-4395-9E49-37C1429AB459}]

D:\WINDOWS\system32\byxyawt.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="D:\Program Files\Wanadoo\Shell.exe" [2004-08-23 13:50 122880]

"NBJ"="D:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 17:25 1961984]

"LClock"="lclock.exe" [2004-12-08 17:06 65536 D:\WINDOWS\LClock.exe]

"IDMan"="D:\Program Files\Internet Download Manager\IDMan.exe" [ ]

"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]

"msnmsgr"="D:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

"BitTorrent"="D:\Program Files\BitTorrent\bittorrent.exe" [2007-09-08 00:01 43008]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]

"SpySweeper"="D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" [ ]

"Office SturtUp"="osa9.exe" []

"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2008-01-08 00:58 155648]

"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2007-07-10 08:18 270648]

"avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-14 10:43 249896]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"LSD_III"="D:\WINDOWS\LSD\end.cmd" [2005-07-14 16:39 2310]

"tscuninstall"="D:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 16:52 44544]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{9DB30F1E-538B-4395-9E49-37C1429AB459}"= D:\WINDOWS\system32\byxyawt.dll [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"SrvWin"= {81bef527-973e-4f73-aa8e-6e49939000c1} - D:\WINDOWS\Installer\{81bef527-973e-4f73-aa8e-6e49939000c1}\SrvWin.dll [ ]

"zip"= {638dd954-4a90-4c3e-bce9-12abee47b2f3} - D:\WINDOWS\Installer\{638dd954-4a90-4c3e-bce9-12abee47b2f3}\zip.dll [2008-02-11 09:37 39462]

"WinMain"= {C231CF11-134F-3552-44AC-E685D962C63C} - D:\WINDOWS\system32\adduser32.dll [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxyawt]

byxyawt.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mzqligwk]

mzqligwk.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winykz32]

winykz32.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2006-11-12 11:48 157592 D:\Program Files\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget]

--a------ 2007-06-29 12:44 1990704 D:\Program Files\FlashGet\flashget.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]

--a------ 2007-06-10 18:02 40960 D:\Program Files\Free Download Manager\FUM\fumoei.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]

D:\Program Files\Internet Download Manager\IDMan.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

D:\WINDOWS\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-01-19 12:55 5674352 D:\Program Files\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NSLauncher]

--a------ 2006-11-28 01:12 2658304 D:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OPTENET_GUI]

D:\PROGRA~1\Controle Parental\bin\optgui.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-06-29 05:24 286720 D:\Program Files\QuickTime\qttask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Service Pack 1]

D:\WINDOWS\system32\vedxg6ame4.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics]

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemSv121]

D:\WINDOWS\system32\n2ewma1xxsv234.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-10-16 10:53 185632 D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows update loader]

C:\Windows\xpupdate.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsServicesStartup]

D:\DOCUME~1\Jean-Christophe\Local Settings\Temp\svchost.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]

--a------ 2004-08-23 13:50 122880 D:\Program Files\Wanadoo\Shell.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

--------- 2004-10-14 15:55 32768 D:\PROGRA~1\Wanadoo\GestMaj.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

--a------ 2004-08-23 13:49 20480 D:\PROGRA~1\Wanadoo\Watch.exe

 

R0 Defrag32b;Defrag32Boot;D:\WINDOWS\system32\drivers\Defrag32b.sys [2005-06-28 10:17]

R2 Defrag32;Defrag32;D:\WINDOWS\system32\drivers\Defrag32.sys [2005-06-28 10:17]

R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;D:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 23:31]

S2 PDSched;PDScheduler;"D:\Program Files\Raxco\PerfectDisk\PDSched.exe" [2005-06-28 14:07]

S3 AdWatchDrv;AW Realtime Driver;D:\WINDOWS\system32\drivers\AWRTPD.sys []

S3 MSControlService;Microsoft cache control;D:\WINDOWS\system32\windows []

S3 PPPoEWin;PPPoEWin Miniport;D:\WINDOWS\system32\DRIVERS\PPPoEWin.SYS []

S3 ST330;ST330;D:\WINDOWS\system32\drivers\st330.sys [2007-09-28 16:12]

S3 STBUS;STBUS;D:\WINDOWS\system32\drivers\stbus.sys [2007-09-28 16:12]

S3 STETH;SpeedTouch Ethernet Adapter NT Driver;D:\WINDOWS\system32\DRIVERS\steth.sys [2007-09-28 16:12]

S3 stppp;Speedtouch PPP Adapter Adapter;D:\WINDOWS\system32\DRIVERS\stppp.sys [2007-09-28 17:20]

S3 taskmon.sys;taskmon.sys;D:\WINDOWS\system32\taskmon.sys [2008-02-12 18:27]

 

*Newly Created Service* - A347SCSI

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-14 12:52:29

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

D:\WINDOWS\System32\FTRTSVC.exe

D:\WINDOWS\system32\wdfmgr.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-14 12:54:21 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-14 11:54:16

[Thanos]

re! il ya du boulot Mamzel...

je repasse à ma pause pour t'indiquer une procédure à suivre

 

en attendant je te conseille fortement de déconnecter ce pc et de ne pas aller sur internet....

[Mamzel stel78]

Merci beaucoup de prendre du temps sur toi pour m'aider.

[Thanos]

re!

 

1°) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/d9rxo8

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

2°) On va récupérer quelques fichiers pour analyse >

 

Fais un clic droit sur le dossier suivant > C:\QooBox > choisis Envoyer vers > Dossier compressé > un nouveau fichier va se créer dans le même répertoire et il se nomme QooBox.zip.

 

Rend toi sur cette page afin d'héberger le fichier C:\QooBox.zip ici > http://www.sendspace.com

Clique sur Parcourir pour chercher le fichier en question . Une fois trouvé, sélectionne le puis clique sur le bouton Ouvrir.

Coche la case "I have read and agree to the terms of service."

Clique enfin sur le bouton Upload File .

Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp

 

Poste le rapport de combofix stp.

Modifié le 14 février 2008 par charles ingals

[Mamzel stel78]

ComboFix 08-02-14.2 - Jean-Christophe 2008-02-14 19:21:53.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.89 [GMT 1:00]

Endroit: D:\Documents and Settings\Jean-Christophe\Bureau\ComboFix.exe

Command switches used :: D:\Documents and Settings\Jean-Christophe\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE

C:\Windows\xpupdate.exe

D:\DOCUME~1\Jean-Christophe\Local Settings\Temp\svchost.exe

D:\WINDOWS\Installer\{638dd954-4a90-4c3e-bce9-12abee47b2f3}\zip.dll

D:\WINDOWS\system32\4fdw.dll

D:\WINDOWS\system32\adduser32.dll

D:\WINDOWS\system32\byxyawt.dll

D:\WINDOWS\system32\byxyawt.VIR

D:\WINDOWS\system32\drivers\symavc32.sys

D:\WINDOWS\system32\fseoiwoe.tmp

D:\WINDOWS\system32\mzqligwk.dll

D:\WINDOWS\system32\n2ewma1xxsv234.exe

D:\WINDOWS\system32\osa9.exe

D:\WINDOWS\system32\runtime.exe

D:\WINDOWS\system32\ruomvajc.dll

D:\WINDOWS\System32\srvwin.dll

D:\WINDOWS\system32\taskmon.sys

D:\WINDOWS\system32\vedxg6ame4.exe

D:\WINDOWS\system32\winykz32.dll

D:\WINDOWS\system32\wmedia32.exe

.

[Thanos]

le rapport n'est pas complêt Mamzel

Poste son intégralité stp > il se trouve dans le répertoire C:\ et se nomme ComboFix.txt

[Mamzel stel78]

C'est le seul ComboFix.txt que je trouve.J'ai fait une recherche et il se trouve dans D:\ComboFix.

Il n'y a aucun autre fichier ComboFix.txt.

Quand je glisse le fichier CF script sur ComboFix.exe une fenêtre bleue s'ouvre mais passe directement au scan et ne demande pas de taper 1 ou 2.