[RESOLU] Navigation ralentie ...

[Minick]

Bonjour

 

J'ai récuperé il y a quelques jours un vieux PC qui n'a pas tourné depuis une bonne année.

Comme j'ai de bonnes habitudes, j'installe le Modem 3G et je me lance dans les téléchargement d'utilitaires de sécurité.

Pendant la navigation vers les sites spécialisés, je remarque un ralentissement frustrant.

Peu après, je lance:

 

- Antivir: Scan complet, suppression des détections.

- Spybot: Idem.

- Ad-Aware: Idem.

+ Un petit nettoyage avec CCleaner, ca ne fait pas de mal

 

Je me dit que ca devrait aller, mais en fait.. non

 

Antivir continue de me signaler quelques fichiers de temps en temps, grâce à la protection résidente (des fichiers comme windows.exe, microsoftwindows.exe dans system32 et WINDOWS) que je supprime immédiatement.

 

De plus, je note l'apparition de fenêtre m'invitant à me rendre sur des sites exotiques (comme regfixit.com, etc) afin de corriger les [insérer un grand nombre] d'erreurs rencontrés par Windows.. (ce que je ne fait pas, bien entendu)

 

Il est à noter que les utilitaires utilisées étaient mise à jours, et que j'ai fait appliquer les dernière mises à jours de sécurité officielles à Windows..

 

Voici, en cadeau, le rapport HijackThis! :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:06:53, on 02/03/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe

C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\DAP\DAP.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe

O4 - HKLM\..\Run: [HydraVisionViewport] C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [E06FDXRC_1719484] "C:\Program Files\Microsoft Encarta\Collection Microsoft Encarta 2006\EDICT.EXE" -m

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Tok-Cirrhatus-804] "C:\Documents and Settings\m\Local Settings\Application Data\br2631on.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{87D132EE-F006-4895-8D04-CE270A5DDA55}: NameServer = 213.140.34.65 213.140.34.139

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

NOTA: Windows recherche instantanément à chaque démarrage le fichier C:\WINDOWS\KesenjanganSosial.exe qu'il ne trouve plus depuis les scans Spybot & Ad-Aware.

 

 

Je vous remercie grandement pour votre travail

 

 

 

~Minick

 

 

EDIT: J'ai oublié de mentionner que le rapport PANDA Secure ne détecte aucune infection

Modifié le 3 mars 2008 par Minick

[angelique]

'jour

 

ton provider est "African Network Information Center", quel est ton mode de connexion ?? routeur j'espere car tu es sous sous xp sans aucun correctif, donc pas de firewall!!!!!!!!!!!!!!!!

 

Desactive temporairement le TeaTimer de Spybot , sinon il va gener dans la desinfection

 

• relance HJT do a system scan only" coche uniquement et clic fixchecked , les lignes ci dessous:

 

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKCU\..\Run: [Tok-Cirrhatus-804] "C:\Documents and Settings\m\Local Settings\Application Data\br2631on.exe"

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

• Télécharger OTMoveIt2 par OldTimer.

 

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

 

* Enregistrer ce fichier sur le Bureau.

* Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).

* Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

C:\WINDOWS\web\related.htm
C:\Documents and Settings\m\Local Settings\Application Data\br2631on.exe

* Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.

* Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

EmptyTemp

* Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller.

* Cliquer sur le bouton rouge Moveit!.

* Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.

* Fermer OTMoveIt2

 

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

 

 

• telecharge le sp2 mais ne l'installe pas encore:

http://www.microsoft.com/downloads/details...;displaylang=fr

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée,ne touche à rien pendant ce temps, un rapport apparaîtra que tu me posteras.

[Minick]

Oui, le PC vient juste de débarquer chez moi, pas encore de firewall

 

J'habite au Maroc, le modem est un petit modem USB (le FAI est "Méditel") fonctionnant grace au réseau 3G (semblable au modem 3G SFR), et qui va à 0.5M (Oui c'est lent, mais ca me suffit )

 

Je suis les instruction et je te donne des nouvelles, merci beaucoup

[angelique]

oui suis les instructions au plus vite que tu puisses au moins installer le sp2 avec son firewall.

On ne peut l'installer maintenant tant que les infections ne sont pas maitrisées , 'cause probabilité de gros problemes d'instabilité.

 

Limite ta connexion au net juste pour y relever mes reponses.

 

j'ai modifié l'adresse de telechargement du sp2, prends en compte ^^

[Minick]

Re,

 

Alors, le rapport MoveIt! :

 

C:\WINDOWS\web\related.htm moved successfully.

File/Folder C:\Documents and Settings\m\Local Settings\Application Data\br2631on.exe not found.

[Custom Input]

< EmptyTemp >

File delete failed. C:\DOCUME~1\m\LOCALS~1\Temp\JET4C32.tmp scheduled to be deleted on reboot.

Temp folders emptied.

IE temp folders emptied.

 

OTMoveIt2 v1.0.20 log created on 03022008_174553

 

La rapport ComboFix:

 

ComboFix 08-03-01.3 - m 2008-03-02 18:00:21.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.83 [GMT 0:00]

Endroit: C:\Documents and Settings\m\Mes documents\My Completed Downloads\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\updates.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-02 17:45 . 2008-03-02 17:45 <REP> d-------- C:\_OTMoveIt

2008-03-02 17:32 . 2008-03-02 17:32 <REP> d---s---- C:\Documents and Settings\m\UserData

2008-03-02 17:06 . 2008-03-02 17:06 <REP> d-------- C:\Program Files\Trend Micro

2008-03-02 16:05 . 2002-11-14 19:43 221,184 --a------ C:\WINDOWS\system32\srrstr.dll

2008-03-02 16:05 . 2002-11-14 19:43 221,184 --a--c--- C:\WINDOWS\system32\dllcache\srrstr.dll

2008-03-02 12:37 . 2008-03-02 17:42 <REP> d--h-c--- C:\WINDOWS\$xpsp1hfm$

2008-03-02 12:37 . 2004-01-10 05:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe

2008-03-02 11:06 . 2008-03-02 11:09 431,616 --------- C:\WINDOWS\system32\microsoftwindows.exe

2008-03-01 23:16 . 2008-03-01 23:16 <REP> d-------- C:\WINDOWS\system32\bits

2008-03-01 22:15 . 2008-03-01 22:28 <REP> d-------- C:\Program Files\Counter-Strike

2008-03-01 22:00 . 2008-03-01 22:00 <REP> d-------- C:\Program Files\Panda Security

2008-03-01 14:40 . 2004-07-01 22:08 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll

2008-03-01 14:40 . 2004-07-01 22:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll

2008-03-01 14:40 . 2004-07-01 22:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2008-03-01 14:40 . 2004-07-01 22:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll

2008-03-01 14:31 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll

2008-03-01 14:31 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll

2008-03-01 14:31 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl

2008-03-01 14:31 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll

2008-03-01 14:31 . 2004-08-03 14:00 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll

2008-03-01 14:31 . 2004-08-03 13:59 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe

2008-03-01 14:31 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll

2008-03-01 12:44 . 2008-03-01 12:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus

2008-03-01 12:43 . 2008-03-02 17:42 <REP> d-------- C:\Documents and Settings\m\Application Data\Azureus

2008-03-01 12:40 . 2008-03-01 12:41 <REP> d-------- C:\Program Files\Azureus

2008-03-01 12:05 . 2008-03-02 17:09 <REP> d-------- C:\Program Files\The All-Seeing Eye

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-02 17:48 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2007-12-14 11:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

2002-01-01 21:13 357 ----a-w C:\Documents and Settings\m\.cb_layout.bin

2001-08-28 10:00 1,388,544 --sh--r C:\WINDOWS\system32\msvbvm60.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 10:00 13312]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-17 21:18 171448]

"Tok-Cirrhatus"="" []

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 10:15 106496]

"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]

"DownloadAccelerator"="C:\Program Files\DAP\DAP.exe" [2007-11-17 21:17 4568576]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-10 05:28 36352]

"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 01:10 409600]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2002-01-01 03:28 249896]

"HydraVisionDesktopManager"="C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe" [2002-11-14 12:34 266240]

"HydraVisionViewport"="C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe" [2002-11-14 12:34 360448]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 10:00 13312]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\System32\\microsoftwindows.exe"=

 

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 22:03]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-02 18:01:37

Windows 5.1.2600 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-03-02 18:02:14

ComboFix-quarantined-files.txt 2008-03-02 18:02:00

.

2008-03-02 17:44:04 --- E O F ---

 

 

Voilà, je te remercie encore

 

J'installe SP2 et je paramètre son pare-feu, à présent?

[angelique]

tu patientes un petit peu qu'on finisse de desinfecter ce que je vois pour installer le sp2[lien dans mon message precedent que j'ai modifié]

 

• telecharge sur ton bureau::

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, clic ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

File::
C:\WINDOWS\system32\lsdelete.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\System32\\microsoftwindows.exe"=-

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

• Télécharge ewido anti-spyware micro scanner sur ton bureau.

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  
• Poste le dans ta prochaine réponse.
  

• Nb, clique sur Remove infections
  

• realise un scan antivir , delete tout ce qu'il trouve , poste son rapport

 

• installe le sp2

[Minick]

Je m'y colle de suite

 

Ca risque de prendre du temps pour télécharger le sp2 alors ne t'étonne pas à me voir ne pas répondre dans la demi-heure

[angelique]

T'inquiete ^^; par contre je ne repondrais pas immediatemment , je serais peut etre plus là certainement

 

Si je zap ton sujet n'hesite pas à "repondre" et mettre just UP

 

ça devrait bien se passer pour toi ;o)

[Minick]

Re

 

Voilà le rapport ComboFix:

 

ComboFix 08-03-01.3 - m 2008-03-02 18:45:47.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.80 [GMT 0:00]

Endroit: C:\Documents and Settings\m\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\m\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\system32\lsdelete.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\lsdelete.exe

 

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-02 17:45 . 2008-03-02 17:45 <REP> d-------- C:\_OTMoveIt

2008-03-02 17:32 . 2008-03-02 17:32 <REP> d---s---- C:\Documents and Settings\m\UserData

2008-03-02 17:06 . 2008-03-02 17:06 <REP> d-------- C:\Program Files\Trend Micro

2008-03-02 16:05 . 2002-11-14 19:43 221,184 --a------ C:\WINDOWS\system32\srrstr.dll

2008-03-02 16:05 . 2002-11-14 19:43 221,184 --a--c--- C:\WINDOWS\system32\dllcache\srrstr.dll

2008-03-02 12:37 . 2008-03-02 17:42 <REP> d--h-c--- C:\WINDOWS\$xpsp1hfm$

2008-03-02 12:37 . 2004-01-10 05:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe

2008-03-02 11:06 . 2008-03-02 11:09 431,616 --------- C:\WINDOWS\system32\microsoftwindows.exe

2008-03-01 23:16 . 2008-03-01 23:16 <REP> d-------- C:\WINDOWS\system32\bits

2008-03-01 22:15 . 2008-03-01 22:28 <REP> d-------- C:\Program Files\Counter-Strike

2008-03-01 22:00 . 2008-03-01 22:00 <REP> d-------- C:\Program Files\Panda Security

2008-03-01 14:40 . 2004-07-01 22:08 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll

2008-03-01 14:40 . 2004-07-01 22:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll

2008-03-01 14:40 . 2004-07-01 22:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2008-03-01 14:40 . 2004-07-01 22:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll

2008-03-01 14:40 . 2004-07-01 22:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll

2008-03-01 14:31 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll

2008-03-01 14:31 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll

2008-03-01 14:31 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl

2008-03-01 14:31 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll

2008-03-01 14:31 . 2004-08-03 14:00 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll

2008-03-01 14:31 . 2004-08-03 13:59 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe

2008-03-01 14:31 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll

2008-03-01 12:44 . 2008-03-01 12:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus

2008-03-01 12:43 . 2008-03-02 17:42 <REP> d-------- C:\Documents and Settings\m\Application Data\Azureus

2008-03-01 12:40 . 2008-03-01 12:41 <REP> d-------- C:\Program Files\Azureus

2008-03-01 12:05 . 2008-03-02 17:09 <REP> d-------- C:\Program Files\The All-Seeing Eye

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-02 17:48 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2002-01-01 21:13 357 ----a-w C:\Documents and Settings\m\.cb_layout.bin

2001-08-28 10:00 1,388,544 --sh--r C:\WINDOWS\system32\msvbvm60.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 10:00 13312]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-11-17 21:18 171448]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 10:15 106496]

"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]

"DownloadAccelerator"="C:\Program Files\DAP\DAP.exe" [2007-11-17 21:17 4568576]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-10 05:28 36352]

"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 01:10 409600]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2002-01-01 03:28 249896]

"HydraVisionDesktopManager"="C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe" [2002-11-14 12:34 266240]

"HydraVisionViewport"="C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe" [2002-11-14 12:34 360448]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 10:00 13312]

 

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 22:03]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-02 18:46:45

Windows 5.1.2600 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-03-02 18:47:24

ComboFix-quarantined-files.txt 2008-03-02 18:47:10

ComboFix2.txt 2008-03-02 18:02:15

.

2008-03-02 17:44:04 --- E O F ---

 

 

 

En ce qui concerne le rapport Ewido eh bien.. je l'ai raté

Juste après le scan (il avait trouvé quantité de cookies traçeurs et quelques Adwares de type Gen si je me rappelle bien) j'ai Remove infection^^ et puis du coup, je ne plus avoir le log^^

 

J'ai fais re-scanner après, plus rien (sauf quelques cookies inoffensifs de SmartAd qu'utilise Zebulon.fr)

 

 

 

Enfin, Antivir détecte quelques fichiers dans un repertoire louche.. Panda Secure J'ai fait viré les fichiers (et supprimé tout le répertoire) uniquement parce que je n'avais plus besoin de Panda Secure, sinon, je n'aurai pas touché, puisque je fais confiance à Panda

Il y a aussi quelques saletés dans System Volum Information (que je devrai peut-être vider dans les prochains jours). En conséquence,j'ai désactivé la restauration système ce qui a pour effet de supprimer tout les points de sauvegardes et la bestiole par la meme occasion. Ensuite je la réactive.

 

Voilà le log pour t'aider à y voir plus clair

 

AntiVir PersonalEdition Classic

Report file date: dimanche 2 mars 2008 22:03

 

Scanning for 1130387 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (plain) [5.1.2600]

Username: SYSTEM

Computer name: DESKTOP

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 14:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 13:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 16:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 13:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 15:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 03:28:34

ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24/02/2008 03:28:34

ANTIVIR3.VDF : 7.0.2.216 135168 Bytes 02/03/2008 22:02:38

AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 01/01/2002 03:28:35

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 11:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 08:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 14:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 01/01/2002 03:28:36

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 08:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 13:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 08:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 12:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 13:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 13:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 10:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: dimanche 2 mars 2008 22:03

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'notepad.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'firefox.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'Mobile Connect.exe' - '1' Module(s) have been scanned

Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'winampa.exe' - '1' Module(s) have been scanned

Scan process 'DAP.exe' - '1' Module(s) have been scanned

Scan process 'SMTray.exe' - '1' Module(s) have been scanned

Scan process 'WgaTray.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'SMAgent.exe' - '1' Module(s) have been scanned

Scan process 'mdm.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'aawservice.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

30 processes with 30 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '26' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Program Files\Panda Security\NanoScan\Engine\psnflg.dll

[DETECTION] Is the Trojan horse TR/Agent.bux.1

[iNFO] The file was deleted!

C:\System Volume Information\_restore{64077004-DE3F-4EDF-A5E5-1818D31E5B92}\RP88\A0047346.exe

[DETECTION] Is the Trojan horse TR/Crypt.TPM.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{64077004-DE3F-4EDF-A5E5-1818D31E5B92}\RP88\A0047351.dll

[DETECTION] Is the Trojan horse TR/Agent.bux.1

[iNFO] The file was deleted!

 

 

End of the scan: dimanche 2 mars 2008 22:22

Used time: 18:49 min

 

The scan has been done completely.

 

2240 Scanning directories

163583 Files were scanned

3 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

3 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

163580 Files not concerned

901 Archives were scanned

2 Warnings

7 Notes

 

 

J'installe le SP2, redémarrage, et je posterai en bonus un log HJT tout frais pour y voir plus clair, après toutes ces émotions

 

Merci !

 

 

~Minick

[angelique]

ok , tu as bien bossé , poste le rapport HJT pour verification.