Un peu d'aide SVP [Résolu]

[decorsdejulie]

Apparemment combofix a du mal lui aussi !

Je l'ai lancé en mode sans échec, il démarre correctement et fait sa recherche de fichiers infectieux et puis il me dit :

C:\ComboFix\NdisChk.dat

Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

C:\ComboFix\NdisBad.dat

Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

C:\ComboFix\NdisChk.dat

Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus

 

puis windows me met deux messages d'erreur

grep.cfexe a rencontré un pb et doit fermer

puis

VFind a rencontré un pb et doit fermer

 

C'est grave docteur ???

[angelique]

J'ai noté ce que tu m'as dit et bien inscrit ce qui suit : expand d:\i386\EXPLORER.EX_EXPLORER.EXE

et il me répond "le système n'a pas pu trouver le fichier ou le répertoire spécifié

 

On va voir si tu as bien remplacer explorer.exe , cette etape est essentielle!!!!!!!!!!!!!

 

 

 

y'avait un espace apres _ , essaie celle ci en console de recup.

 

 

 

En prevision , tu va telecharger explorer.exe:: http://www.sendspace.com/file/5h0uxw

 

Temporairement ,Tu le mets en c:\ , ça va etre plus facile de le copier à partir de là en console de recup.

 

-------------------------------------

 

donc 2 solutions s'offrent desormais à toi pour avoir un bon explorer.exe, tu en as un qui se trouve sur le cd dans le dossier i386 , sous forme EXPLORER.EX_ et un autre que tu viens de telecharger en c:\explorer.exe

 

Donc 2 possiblités au choix pour remplacer le mauvais patché , en console de recuperation:

 

ren explorer.exe explorer.bak <---- ceci va "désactiver" le mauvais explorer.exe , s'il n'est pas remplacé , tu n'as plus de bureau au reboot, il se remplace par au choix ci dessous:

 

expand d:\i386\EXPLORER.EX_ c:\windows\EXPLORER.EXE <-- ceci extrait l'original explorer.exe du cd et le colle dans le bon repertoire

 

copy c:\explorer.exe c:\windows\explorer.exe <---ceci va copier explorer.exe que tu as precedemment telecharger dans le bon repertoire

 

exit <--redemarre l'ordinateur

 

j'espere avoir été suffisamment explicite pour que tu le remplaces correctement ^^

 

• va uploader et analyser le fichier en gras là : http://virusscan.jotti.org/

 

c:\windows\explorer.exe

*selectionne le resultat des differents scans antivirus,et copie colle le ici.

 

• telecharge http://www.gmer.net/gmer.zip , et dezippe le en c:\

 

lance le , onglet Rootkit , scan .

 

Une fois le scan terminé , clic copy , ouvre ton blocnote[executer---notepad] , edition \ coller.

Tu me mets le contenu ici.

[decorsdejulie]

voici le rapport donné des différents scans antivirus :

 

File: explorer.exe

Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5: 2a7bd330924252a2fd80344fc949bb72

Packers detected: -

Bit9 reports: No threat detected (more info)

 

Scan taken on 18 Mar 2008 14:31:34 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

 

 

 

 

 

et le rapport gmer :

 

GMER 1.0.14.14205 - http://www.gmer.net

Rootkit scan 2008-03-18 15:59:51

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess [0xF8BB08AC]

SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess [0xF8BB0812]

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[2272] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 0056DBBD C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!DialogBoxParamW 7E3A555F 5 Bytes JMP 4437F301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!DialogBoxIndirectParamW 7E3B2032 5 Bytes JMP 445117EF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!MessageBoxIndirectA 7E3BA04A 5 Bytes JMP 44511770 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!DialogBoxParamA 7E3BB10C 5 Bytes JMP 445117B4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!MessageBoxExW 7E3D05D8 5 Bytes JMP 445116FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!MessageBoxExA 7E3D05FC 5 Bytes JMP 44511736 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!DialogBoxIndirectParamA 7E3D6B50 5 Bytes JMP 4451182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\internet explorer\iexplore.exe[2904] USER32.dll!MessageBoxIndirectW 7E3E62AB 5 Bytes JMP 443A16B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

 

---- EOF - GMER 1.0.14 ----

[angelique]

Tu as l'air d'avoir réussi à remplacer explorer.exe , l'operation s'est bien déroulé?? tu me detailles quelles operations tu as effectué stp ;o)

 

Repond à cette question auparavent.

 

puis on retente,retelecharge ComboFix , desactive temporairement avast et execute le comme precedemment expliqué en mode normal, poste le rapport.

[decorsdejulie]

oui, je pense avoir réussi car aucun message d'erreur, j'ai fait comme tu m'as dit

j'ai telechargé explorer.exe sur http://www.sendspace.com/file/5h0uxw

 

puis j'ai redémarrer avec le cd de windows xp

 

dans la console de récupération j'ai écrit

 

ren explorer.exe explorer.bak

 

puis j'ai mis

expand d:\i386\EXPLORER.EX_ c:\windows\EXPLORER.EXE

 

mais là, il m'a dit impossible d'y avoir accès donc j'ai opté pour la deuxième solution, j'ai inscrit :

 

copy c:\explorer.exe c:\windows\explorer.exe

puis

exit

 

et là, nickel , il a redémarré et j'ai continué les manips que tu m'a demandé.

[angelique]

ok

 

• tu peux faire un rapport ComboFix?? il fonctionne désormais?

[decorsdejulie]

oui cool, ça a marché, en voici le rapport :

 

ComboFix 08-03-17.1 - PC01 2008-03-18 18:42:31.21 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.164 [GMT 1:00]

Endroit: C:\Documents and Settings\PC01\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-02-18 to 2008-03-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-18 16:59 . 2008-03-18 16:59 <REP> d-------- C:\WINDOWS\LastGood

2008-03-18 15:47 . 2008-03-03 20:29 761,856 --a------ C:\gmer.exe

2008-03-18 15:47 . 2008-03-18 15:47 698,623 --a------ C:\gmer.zip

2008-03-18 15:47 . 2008-03-18 15:47 250 --a------ C:\WINDOWS\gmer.ini

2008-03-18 14:55 . 2008-03-18 14:55 268 --ah----- C:\sqmdata16.sqm

2008-03-18 14:55 . 2008-03-18 14:55 244 --ah----- C:\sqmnoopt16.sqm

2008-03-18 14:54 . 2008-03-18 14:54 1,036,288 --a------ C:\WINDOWS\explorer.exe

2008-03-18 14:54 . 2008-03-18 14:54 1,036,288 --a------ C:\explorer.exe

2008-03-18 14:21 . 2008-03-18 14:21 268 --ah----- C:\sqmdata15.sqm

2008-03-18 14:21 . 2008-03-18 14:21 244 --ah----- C:\sqmnoopt15.sqm

2008-03-18 14:11 . 2008-03-18 14:11 268 --ah----- C:\sqmdata14.sqm

2008-03-18 14:11 . 2008-03-18 14:11 244 --ah----- C:\sqmnoopt14.sqm

2008-03-17 21:43 . 2008-03-17 21:43 244 --ah----- C:\sqmnoopt13.sqm

2008-03-17 21:43 . 2008-03-17 21:43 232 --ah----- C:\sqmdata13.sqm

2008-03-17 21:40 . 2008-03-17 21:40 268 --ah----- C:\sqmdata12.sqm

2008-03-17 21:40 . 2008-03-17 21:40 244 --ah----- C:\sqmnoopt12.sqm

2008-03-17 21:33 . 2008-03-18 14:31 34,305 --a------ C:\Documents and Settings\PC01\mylbkbpe.exe

2008-03-17 21:31 . 2008-03-17 21:31 268 --ah----- C:\sqmdata11.sqm

2008-03-17 21:31 . 2008-03-17 21:31 244 --ah----- C:\sqmnoopt11.sqm

2008-03-17 13:51 . 2008-03-17 13:51 268 --ah----- C:\sqmdata10.sqm

2008-03-17 13:51 . 2008-03-17 13:51 244 --ah----- C:\sqmnoopt10.sqm

2008-03-16 21:41 . 2008-03-16 21:41 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-03-16 21:41 . 2008-03-16 21:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-03-16 21:24 . 2008-03-16 21:24 268 --ah----- C:\sqmdata09.sqm

2008-03-16 21:24 . 2008-03-16 21:24 244 --ah----- C:\sqmnoopt09.sqm

2008-03-16 19:42 . 2008-03-16 19:42 268 --ah----- C:\sqmdata08.sqm

2008-03-16 19:42 . 2008-03-16 19:42 244 --ah----- C:\sqmnoopt08.sqm

2008-03-16 12:51 . 2008-03-16 12:51 <REP> d-------- C:\WINDOWS\ERUNT

2008-03-16 12:47 . 2008-03-16 12:47 268 --ah----- C:\sqmdata07.sqm

2008-03-16 12:47 . 2008-03-16 12:47 244 --ah----- C:\sqmnoopt07.sqm

2008-03-15 21:12 . 2008-03-15 21:12 268 --ah----- C:\sqmdata06.sqm

2008-03-15 21:12 . 2008-03-15 21:12 244 --ah----- C:\sqmnoopt06.sqm

2008-03-14 22:02 . 2008-03-14 22:02 268 --ah----- C:\sqmdata05.sqm

2008-03-14 22:02 . 2008-03-14 22:02 244 --ah----- C:\sqmnoopt05.sqm

2008-03-14 18:58 . 2008-03-14 18:58 268 --ah----- C:\sqmdata04.sqm

2008-03-14 18:58 . 2008-03-14 18:58 244 --ah----- C:\sqmnoopt04.sqm

2008-03-14 08:38 . 2008-03-14 08:38 <REP> d-------- C:\Program Files\Trend Micro

2008-03-13 18:53 . 2008-03-13 18:53 268 --ah----- C:\sqmdata03.sqm

2008-03-13 18:53 . 2008-03-13 18:53 244 --ah----- C:\sqmnoopt03.sqm

2008-03-13 17:40 . 2008-03-13 17:40 268 --ah----- C:\sqmdata02.sqm

2008-03-13 17:40 . 2008-03-13 17:40 244 --ah----- C:\sqmnoopt02.sqm

2008-03-03 20:33 . 2008-03-03 20:33 268 --ah----- C:\sqmdata01.sqm

2008-03-03 20:33 . 2008-03-03 20:33 244 --ah----- C:\sqmnoopt01.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-17 02:02 --------- d-----w C:\Program Files\Windows Live

2008-02-13 10:46 --------- d-----w C:\Documents and Settings\PC01\Application Data\Grisoft

2008-02-13 10:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft

2008-02-13 08:53 4,525 ----a-w C:\Documents and Settings\PC01\iypikm.exe

2008-02-13 07:18 4,525 ----a-w C:\Documents and Settings\PC01\usmgrp.exe

2008-02-12 18:16 4,525 ----a-w C:\Documents and Settings\PC01\ryfoxs.exe

2008-02-12 18:05 4,525 ----a-w C:\WINDOWS\system32\lyqmbd.exe

2008-02-12 18:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-02-12 16:22 4,525 ----a-w C:\Documents and Settings\PC01\gvffri.exe

2008-02-12 16:17 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-02-12 13:40 --------- d-----w C:\Documents and Settings\PC01\Application Data\Image Zone Express

2008-02-11 23:22 4,525 ----a-w C:\Documents and Settings\PC01\mmuzzb.exe

2008-02-11 22:41 4,525 ----a-w C:\Documents and Settings\PC01\stmltq.exe

2008-02-11 22:29 4,525 ----a-w C:\Documents and Settings\PC01\ijhcum.exe

2008-02-11 22:20 4,525 ----a-w C:\Documents and Settings\PC01\otaurw.exe

2008-02-11 20:58 16,768 ----a-w C:\WINDOWS\system32\tcpip_patcher.sys

2008-02-11 20:57 4,525 ----a-w C:\Documents and Settings\PC01\qfaqrb.exe

2008-02-11 20:57 --------- d-----w C:\Program Files\BVRP Connection Manager

2008-02-11 12:59 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition

2008-02-11 12:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-02-11 12:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-02-10 09:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-01 10:17 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR

2008-01-27 11:48 70,528 ----a-w C:\WINDOWS\system32\drivers\modem.sys

2008-01-27 09:35 --------- d-----w C:\Program Files\Zuma Deluxe

2008-01-25 17:12 --------- d-----w C:\Documents and Settings\PC01\Application Data\ArcSoft

2008-01-25 11:51 25,984 ----a-w C:\WINDOWS\system32\drivers\Oyc35.sys

2008-01-22 20:32 --------- d-----w C:\Documents and Settings\PC01\Application Data\dvdcss

2008-01-20 20:33 --------- d-----w C:\Program Files\Fichiers communs\ArcSoft

2008-01-20 20:31 --------- d-----w C:\Program Files\Hercules

1996-12-02 17:44 582,144 ----a-w C:\Program Files\Fichiers communs\dao350.dll

.

 

------- Sigcheck -------

 

2008-03-18 14:54 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\explorer.exe

2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 13:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2007-06-13 14:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Connection Manager"="C:\Program Files\BVRP Connection Manager\Nomad.exe" [2005-04-18 09:29 65536]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-03-02 00:22 577536 C:\WINDOWS\SOUNDMAN.EXE]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-10 23:03 8429568]

"nwiz"="nwiz.exe" [2007-05-10 23:03 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-05-10 23:03 81920]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 20:52 49152]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-08-20 11:28 45056]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

"Connection Manager"="C:\Program Files\BVRP Connection Manager\Nomad.exe" [2005-04-18 09:29 65536]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 20:40:10 210520]

NETGEAR WG111v2 Smart Wizard.lnk - C:\Program Files\NETGEAR\WG111v2\WG111v2.exe [2006-05-17 16:05:52 2297856]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Documents and Settings\\PC01\\mylbkbpe.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]

R2 BVRPNDIS;BVRPNDIS Protocol Driver U/I;C:\Program Files\BVRP Connection Manager\BVRPNDIS.SYS [2004-06-02 16:56]

R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47]

R3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 17:04]

R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]

S2 Nomad;Connection Manager;"C:\Program Files\BVRP Connection Manager\NomadSvr.exe" []

S3 Oyc35;Oyc35;C:\WINDOWS\System32\drivers\Oyc35.sys [2008-01-25 12:51]

S3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1aa98d1-6eb6-11dc-a856-0019663115b7}]

\Shell\AutoRun\command - F:\setupSNK.exe

 

*Newly Created Service* - GMER

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-18 14:10:58 C:\WINDOWS\Tasks\SDMsgUpdate (TE).job"

- C:\PROGRA~1\SMARTD~1\Messages\SDNotify.exeW-PTE -V900 -SSDU.ini -A -Mhttp://www.smartdraw.com/msgs/messagecheck.aspx -D0 -T -N -X

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-18 18:44:42

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs a chargé sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\RtlGina2.dll

 

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]

-> C:\Program Files\Hercules\WebCam Station\PhotoImpression\share\pihook.dll

.

Temps d'accomplissement: 2008-03-18 18:45:16

.

2008-03-17 02:03:56 --- E O F ---

[angelique]

Pas evident ton sujet , mais tu as fais le plus gros du boulot , le reste c'est de la broutille pour toi , qui a parfaitement géré la console de recup.

 

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

http://forum.zebulon.fr/index.php?showtopic=140891&hl=
Collect::[27]
C:\WINDOWS\System32\drivers\Oyc35.sys

Driver::
Oyc35

File::
C:\Documents and Settings\PC01\mylbkbpe.exe
C:\explorer.exe
C:\Documents and Settings\PC01\iypikm.exe
C:\Documents and Settings\PC01\usmgrp.exe
C:\Documents and Settings\PC01\ryfoxs.exe
C:\WINDOWS\system32\lyqmbd.exe
C:\Documents and Settings\PC01\gvffri.exe
C:\Documents and Settings\PC01\mmuzzb.exe
C:\Documents and Settings\PC01\stmltq.exe
C:\Documents and Settings\PC01\ijhcum.exe
C:\Documents and Settings\PC01\otaurw.exe
C:\WINDOWS\system32\tcpip_patcher.sys
C:\Documents and Settings\PC01\qfaqrb.exe
C:\WINDOWS\System32\drivers\Oyc35.sys

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Documents and Settings\\PC01\\mylbkbpe.exe"=-

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

*une fenetre d'upload devrait s'afficher , upload le zip

 

• avast il pu :

http://forum.malekal.com/viewtopic.php?f=45&t=3528

 

donc tu le desinstalles via ajout supression de programmes et installe antivir en suivant ce tuto:

http://www.malekal.com/tutorial_antivir.php

 

scan ton pc , quarantaine les entrées trouvées , poste le rapport

 

•telecharge sur ton bureau:

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

• Télécharge ewido anti-spyware micro scanner sur ton bureau.

http://downloads.ewido.net/ewido_micro.exe

 

* Double-clique sur le fichier ewido_micro.exe pour l'exécuter.

* Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.

* Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.

* Clique sur Start Scan et laisse l'outil travailler.

* Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.

* Poste le dans ta prochaine réponse.

 

Nb, clique sur Remove infections

 

 

 

 

•nouveau rapport HJT + rapport ewido + rapport antivir + rapport ComboFix

 

Au boulot.....

[decorsdejulie]

voici le nouveau rapport combo fix :

ComboFix 08-03-17.1 - PC01 2008-03-18 19:43:01.22 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.172 [GMT 1:00]

Endroit: C:\Documents and Settings\PC01\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\PC01\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\Documents and Settings\PC01\gvffri.exe

C:\Documents and Settings\PC01\ijhcum.exe

C:\Documents and Settings\PC01\iypikm.exe

C:\Documents and Settings\PC01\mmuzzb.exe

C:\Documents and Settings\PC01\mylbkbpe.exe

C:\Documents and Settings\PC01\otaurw.exe

C:\Documents and Settings\PC01\qfaqrb.exe

C:\Documents and Settings\PC01\ryfoxs.exe

C:\Documents and Settings\PC01\stmltq.exe

C:\Documents and Settings\PC01\usmgrp.exe

C:\explorer.exe

C:\WINDOWS\System32\drivers\Oyc35.sys

C:\WINDOWS\system32\lyqmbd.exe

C:\WINDOWS\system32\tcpip_patcher.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\PC01\gvffri.exe

C:\Documents and Settings\PC01\ijhcum.exe

C:\Documents and Settings\PC01\iypikm.exe

C:\Documents and Settings\PC01\mmuzzb.exe

C:\Documents and Settings\PC01\mylbkbpe.exe

C:\Documents and Settings\PC01\otaurw.exe

C:\Documents and Settings\PC01\qfaqrb.exe

C:\Documents and Settings\PC01\ryfoxs.exe

C:\Documents and Settings\PC01\stmltq.exe

C:\Documents and Settings\PC01\usmgrp.exe

C:\explorer.exe

C:\WINDOWS\System32\drivers\Oyc35.sys

C:\WINDOWS\system32\lyqmbd.exe

C:\WINDOWS\system32\tcpip_patcher.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_Oyc35

 

 

((((((((((((((((((((((((((((( Fichiers créés 2008-02-18 to 2008-03-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-18 19:44 . 2008-03-18 19:44 268 --ah----- C:\sqmdata17.sqm

2008-03-18 19:44 . 2008-03-18 19:44 244 --ah----- C:\sqmnoopt17.sqm

2008-03-18 15:47 . 2008-03-03 20:29 761,856 --a------ C:\gmer.exe

2008-03-18 15:47 . 2008-03-18 15:47 698,623 --a------ C:\gmer.zip

2008-03-18 15:47 . 2008-03-18 15:47 250 --a------ C:\WINDOWS\gmer.ini

2008-03-18 14:55 . 2008-03-18 14:55 268 --ah----- C:\sqmdata16.sqm

2008-03-18 14:55 . 2008-03-18 14:55 244 --ah----- C:\sqmnoopt16.sqm

2008-03-18 14:54 . 2008-03-18 14:54 1,036,288 --a------ C:\WINDOWS\explorer.exe

2008-03-18 14:21 . 2008-03-18 14:21 268 --ah----- C:\sqmdata15.sqm

2008-03-18 14:21 . 2008-03-18 14:21 244 --ah----- C:\sqmnoopt15.sqm

2008-03-18 14:11 . 2008-03-18 14:11 268 --ah----- C:\sqmdata14.sqm

2008-03-18 14:11 . 2008-03-18 14:11 244 --ah----- C:\sqmnoopt14.sqm

2008-03-17 21:43 . 2008-03-17 21:43 244 --ah----- C:\sqmnoopt13.sqm

2008-03-17 21:43 . 2008-03-17 21:43 232 --ah----- C:\sqmdata13.sqm

2008-03-17 21:40 . 2008-03-17 21:40 268 --ah----- C:\sqmdata12.sqm

2008-03-17 21:40 . 2008-03-17 21:40 244 --ah----- C:\sqmnoopt12.sqm

2008-03-17 21:31 . 2008-03-17 21:31 268 --ah----- C:\sqmdata11.sqm

2008-03-17 21:31 . 2008-03-17 21:31 244 --ah----- C:\sqmnoopt11.sqm

2008-03-17 13:51 . 2008-03-17 13:51 268 --ah----- C:\sqmdata10.sqm

2008-03-17 13:51 . 2008-03-17 13:51 244 --ah----- C:\sqmnoopt10.sqm

2008-03-16 21:41 . 2008-03-16 21:41 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-03-16 21:41 . 2008-03-16 21:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-03-16 21:24 . 2008-03-16 21:24 268 --ah----- C:\sqmdata09.sqm

2008-03-16 21:24 . 2008-03-16 21:24 244 --ah----- C:\sqmnoopt09.sqm

2008-03-16 19:42 . 2008-03-16 19:42 268 --ah----- C:\sqmdata08.sqm

2008-03-16 19:42 . 2008-03-16 19:42 244 --ah----- C:\sqmnoopt08.sqm

2008-03-16 12:51 . 2008-03-16 12:51 <REP> d-------- C:\WINDOWS\ERUNT

2008-03-16 12:47 . 2008-03-16 12:47 268 --ah----- C:\sqmdata07.sqm

2008-03-16 12:47 . 2008-03-16 12:47 244 --ah----- C:\sqmnoopt07.sqm

2008-03-15 21:12 . 2008-03-15 21:12 268 --ah----- C:\sqmdata06.sqm

2008-03-15 21:12 . 2008-03-15 21:12 244 --ah----- C:\sqmnoopt06.sqm

2008-03-14 22:02 . 2008-03-14 22:02 268 --ah----- C:\sqmdata05.sqm

2008-03-14 22:02 . 2008-03-14 22:02 244 --ah----- C:\sqmnoopt05.sqm

2008-03-14 18:58 . 2008-03-14 18:58 268 --ah----- C:\sqmdata04.sqm

2008-03-14 18:58 . 2008-03-14 18:58 244 --ah----- C:\sqmnoopt04.sqm

2008-03-14 08:38 . 2008-03-14 08:38 <REP> d-------- C:\Program Files\Trend Micro

2008-03-13 18:53 . 2008-03-13 18:53 268 --ah----- C:\sqmdata03.sqm

2008-03-13 18:53 . 2008-03-13 18:53 244 --ah----- C:\sqmnoopt03.sqm

2008-03-13 17:40 . 2008-03-13 17:40 268 --ah----- C:\sqmdata02.sqm

2008-03-13 17:40 . 2008-03-13 17:40 244 --ah----- C:\sqmnoopt02.sqm

2008-03-03 20:33 . 2008-03-03 20:33 268 --ah----- C:\sqmdata01.sqm

2008-03-03 20:33 . 2008-03-03 20:33 244 --ah----- C:\sqmnoopt01.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-17 02:02 --------- d-----w C:\Program Files\Windows Live

2008-02-13 10:46 --------- d-----w C:\Documents and Settings\PC01\Application Data\Grisoft

2008-02-13 10:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft

2008-02-12 18:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-02-12 16:17 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-02-12 13:40 --------- d-----w C:\Documents and Settings\PC01\Application Data\Image Zone Express

2008-02-11 20:57 --------- d-----w C:\Program Files\BVRP Connection Manager

2008-02-11 12:59 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition

2008-02-11 12:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-02-11 12:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-02-10 09:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-01 10:17 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR

2008-01-27 11:48 70,528 ----a-w C:\WINDOWS\system32\drivers\modem.sys

2008-01-27 09:35 --------- d-----w C:\Program Files\Zuma Deluxe

2008-01-25 17:12 --------- d-----w C:\Documents and Settings\PC01\Application Data\ArcSoft

2008-01-22 20:32 --------- d-----w C:\Documents and Settings\PC01\Application Data\dvdcss

2008-01-20 20:33 --------- d-----w C:\Program Files\Fichiers communs\ArcSoft

2008-01-20 20:31 --------- d-----w C:\Program Files\Hercules

1996-12-02 17:44 582,144 ----a-w C:\Program Files\Fichiers communs\dao350.dll

.

 

------- Sigcheck -------

 

2008-03-18 14:54 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\explorer.exe

2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-05 13:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2007-06-13 14:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr\explorer.exe

.

((((((((((((((((((((((((((((( snapshot@2008-03-18_18.44.58,76 )))))))))))))))))))))))))))))))))))))))))

.

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

+ 2008-03-18 18:46:00 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_668.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Connection Manager"="C:\Program Files\BVRP Connection Manager\Nomad.exe" [2005-04-18 09:29 65536]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-03-02 00:22 577536 C:\WINDOWS\SOUNDMAN.EXE]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-10 23:03 8429568]

"nwiz"="nwiz.exe" [2007-05-10 23:03 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-05-10 23:03 81920]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 20:52 49152]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-08-20 11:28 45056]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

"Connection Manager"="C:\Program Files\BVRP Connection Manager\Nomad.exe" [2005-04-18 09:29 65536]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]

R2 BVRPNDIS;BVRPNDIS Protocol Driver U/I;C:\Program Files\BVRP Connection Manager\BVRPNDIS.SYS [2004-06-02 16:56]

R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47]

R3 ovt530;Webcam Deluxe;C:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 17:04]

R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]

S2 Nomad;Connection Manager;"C:\Program Files\BVRP Connection Manager\NomadSvr.exe" []

S3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a1aa98d1-6eb6-11dc-a856-0019663115b7}]

\Shell\AutoRun\command - F:\setupSNK.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-18 18:46:27 C:\WINDOWS\Tasks\SDMsgUpdate (TE).job"

- C:\PROGRA~1\SMARTD~1\Messages\SDNotify.exeW-PTE -V900 -SSDU.ini -A -Mhttp://www.smartdraw.com/msgs/messagecheck.aspx -D0 -T -N -X

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-18 19:46:41

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs a chargé sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\RtlGina2.dll

 

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]

-> C:\Program Files\Hercules\WebCam Station\PhotoImpression\share\pihook.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\NETGEAR\WG111v2\WG111v2.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-03-18 19:50:10 - machine was rebooted

ComboFix-quarantined-files.txt 2008-03-18 18:50:06

ComboFix2.txt 2008-03-18 17:45:17

.

2008-03-17 02:03:56 --- E O F ---

[angelique]

ok

 

tu desinstalleras ComboFix en copiant |collant la ligne ci dessous dans executer et en la validant:

 

ComboFix /u

 

et tu posteras la suite des rapports demandés, t'inquiete pas si antivir couine ^^ , tu quarantaines ;o)