Supprimer Virus

[spilo]

Bonjour à tous,

Après avoir malencontreusement cliquer sur un executable reçu par mail, je pense être infecté par un virus...

 

- impossible de lancer Norton (... application win32 non valide)

 

- L'ordinateur ne détecte plus les résaux wifi...

 

- Word et outlook 2007 ne répondent pas lorsqu'ils sont lancés....

 

Après quelques recherche sur Google, il semble que ces symptomes soit liés au virus Worm.Bagle.ih. (et autres variantes !)

 

Merci de votre aide.

[spilo]

Log COMBOFIX :

 

 

ComboFix 08-03-14.4 - SYSTEM 2008-03-17 12:58:33.2 - NTFSx86 MINIMAL

Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.640 [GMT 1:00]

Endroit: C:\Users\Fred\Desktop\Combo-Fix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\Windows\system32\drivers\down

C:\Windows\system32\drivers\hldrrr.exe

C:\Windows\system32\drivers\srosa.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\LEGACY_SROSA

-------\LEGACY_SROSA

-------\srosa

 

 

((((((((((((((((((((((((((((( Fichiers créés 2008-02-17 to 2008-03-17 ))))))))))))))))))))))))))))))))))))

.

 

Pas de nouveau fichier créé dans cet espace de temps

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-16 19:13 --------- d-----w C:\Users\Fred\AppData\Roaming\FileZilla

2008-03-16 12:20 --------- d-----w C:\Program Files\Ellams Software

2008-03-13 17:00 --------- d-----w C:\Program Files\AviSynth 2.5

2008-03-12 23:06 --------- d-----w C:\ProgramData\Symantec

2008-03-12 07:47 --------- d-----w C:\Program Files\Windows Mail

2008-03-12 06:00 --------- d-----w C:\ProgramData\Microsoft Help

2008-03-10 23:05 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-03-09 17:19 --------- d-----w C:\Users\Fred\AppData\Roaming\dvdcss

2008-03-07 14:18 220 ----a-w C:\reecmuxmkv.bat

2008-03-07 12:40 13,035 ----a-w C:\Windows\system32\drivers\SymRedir.cat

2008-03-07 12:40 1,358 ----a-w C:\Windows\system32\drivers\SymRedir.inf

2008-03-07 12:39 39,984 ----a-w C:\Windows\system32\drivers\symids.sys

2008-03-07 12:39 37,936 ----a-w C:\Windows\system32\drivers\symndisv.sys

2008-03-07 12:39 27,696 ----a-w C:\Windows\system32\drivers\symredrv.sys

2008-03-07 12:39 191,536 ----a-w C:\Windows\system32\drivers\symtdi.sys

2008-03-07 12:39 145,968 ----a-w C:\Windows\system32\drivers\symfw.sys

2008-03-07 12:39 12,848 ----a-w C:\Windows\system32\drivers\symdns.sys

2008-03-06 16:04 --------- d-----w C:\Users\Fred\AppData\Roaming\DivX

2008-03-06 12:51 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-03-06 12:51 --------- d-----w C:\Program Files\On2 Technologies

2008-03-06 12:50 --------- d-----w C:\Program Files\AC3Filter

2008-03-06 12:49 --------- d-----w C:\Program Files\x264

2008-03-06 12:48 --------- d-----w C:\Program Files\Xvid

2008-03-06 12:48 --------- d-----w C:\Program Files\DivX

2008-03-06 12:46 --------- d-----w C:\Program Files\Ripp-It Codec Pack

2008-03-06 12:45 --------- d-----w C:\Program Files\Ripp-it_AM

2008-03-06 11:55 --------- d-----w C:\Users\Fred\AppData\Roaming\AVSMedia

2008-03-06 11:51 --------- d-----w C:\Program Files\AVSMedia

2008-03-05 21:32 --------- d-----w C:\Users\Fred\AppData\Roaming\AVS4YOU

2008-03-05 21:31 --------- d-----w C:\ProgramData\AVS4YOU

2008-03-05 21:31 --------- d-----w C:\Program Files\Common Files\AVSMedia

2008-03-05 21:31 --------- d-----w C:\Program Files\AVS4YOU

2008-03-05 20:01 --------- d-----w C:\Program Files\Catalencoder

2008-03-05 13:54 --------- d-----w C:\Users\Fred\AppData\Roaming\Nero

2008-03-05 13:50 --------- d-----w C:\Program Files\Common Files\Nero

2008-03-05 13:46 --------- d-----w C:\ProgramData\Nero

2008-03-05 13:46 --------- d-----w C:\Program Files\Nero

2008-03-04 11:08 --------- d-----w C:\Program Files\Western Digital Technologies

2008-03-02 19:33 --------- d-----w C:\Program Files\BatchDPG

2008-03-02 17:37 217,073 ------w C:\Windows\meta4.exe

2008-03-02 17:35 --------- d-----w C:\Program Files\eRightSoft

2008-03-02 13:51 --------- d-----w C:\Users\Fred\AppData\Roaming\vlc

2008-03-02 13:20 --------- d-----w C:\Program Files\Freeplayer

2008-03-01 17:10 --------- d-----w C:\ProgramData\CyberLink

2008-02-28 20:10 --------- d-----w C:\Program Files\Norton Internet Security

2008-02-26 18:51 --------- d-----w C:\Program Files\FileZilla FTP Client

2008-02-15 18:10 --------- d-----w C:\Users\Fred\AppData\Roaming\Winamp

2008-02-13 10:09 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys

2008-02-13 10:07 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys

2008-02-13 10:07 495,160 ----a-w C:\Windows\system32\drivers\Wdf01000.sys

2008-02-13 10:07 35,384 ----a-w C:\Windows\system32\drivers\WdfLdr.sys

2008-02-13 10:07 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys

2008-02-13 10:07 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys

2008-02-13 10:07 19,968 ----a-w C:\Windows\system32\drivers\sermouse.sys

2008-02-13 10:07 15,872 ----a-w C:\Windows\system32\drivers\mouhid.sys

2008-02-13 10:07 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys

2008-02-13 10:04 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys

2008-02-13 10:04 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys

2008-02-13 10:04 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys

2008-02-13 10:04 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys

2008-02-13 10:04 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys

2008-02-13 10:03 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys

2008-02-13 10:03 216,632 ----a-w C:\Windows\system32\drivers\netio.sys

2008-02-13 10:02 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll

2008-02-13 10:02 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll

2008-02-13 10:02 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll

2008-02-13 10:02 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll

2008-02-13 09:59 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll

2008-02-12 12:56 --------- d-----w C:\Program Files\Common Files\Adobe

2008-02-12 07:20 --------- d-----w C:\Program Files\Microsoft.NET

2008-02-12 07:11 --------- d-----w C:\Program Files\Nuts9000

2008-02-10 11:20 --------- d-----w C:\Users\Bertrand\AppData\Roaming\MusicNet

2008-02-06 12:25 --------- d-----w C:\Users\Fred\AppData\Roaming\DataCast

2008-02-06 12:19 65,024 ----a-w C:\Windows\IFinst26.exe

2008-02-06 12:19 --------- d-----w C:\Program Files\MarkAny

2008-02-06 12:19 --------- d-----w C:\Program Files\Lame MP3 Codec

2008-02-06 12:18 --------- d-----w C:\Program Files\Samsung

2008-02-06 12:17 --------- d-----w C:\Users\Fred\AppData\Roaming\InstallShield

2008-02-03 15:30 --------- d-----w C:\Program Files\RealVNC

2008-02-03 14:58 --------- d-----w C:\Program Files\VideoLAN

2008-02-03 14:30 --------- d-----w C:\ProgramData\OrbNetworks

2008-02-03 14:30 --------- d-----w C:\Program Files\Winamp Remote

2008-02-03 14:30 --------- d-----w C:\Program Files\Winamp

2008-02-03 12:16 --------- d-----w C:\ProgramData\Macrovision

2008-02-03 12:16 --------- d-----w C:\Program Files\Common Files\Adobe Systems Shared

2008-02-03 10:36 805 ----a-w C:\Windows\system32\drivers\SYMEVENT.INF

2008-02-03 10:36 123,952 ----a-w C:\Windows\system32\drivers\SYMEVENT.SYS

2008-02-03 10:36 10,740 ----a-w C:\Windows\system32\drivers\SYMEVENT.CAT

2008-02-03 10:36 --------- d-----w C:\Program Files\Symantec

2008-02-03 10:26 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller

2008-02-03 10:26 --------- d-----w C:\Program Files\Windows Live

2008-02-03 10:16 --------- d-----w C:\ProgramData\WLInstaller

2008-02-03 00:20 --------- d-----w C:\Program Files\MSECache

2008-02-03 00:09 --------- d-----w C:\Users\Fred\AppData\Roaming\Packard Bell

2008-02-03 00:01 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard

2008-02-02 23:54 --------- d-----w C:\Program Files\Common Files\Macromedia

2008-02-02 23:53 --------- d-----w C:\Program Files\Macromedia

2008-02-02 23:51 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-02-02 23:45 --------- d-----w C:\Program Files\MSBuild

2008-02-02 23:45 --------- d-----w C:\Program Files\Microsoft Works

2006-05-03 10:06 163,328 --sh--r C:\Windows\System32\flvDX.dll

2007-02-21 11:47 31,232 --sh--r C:\Windows\System32\msfDX.dll

2006-11-02 12:34 168,960 --sha-w C:\Windows\winsxs\x86_microsoft-windows-mediaplayer-core_31bf3856ad364e35_6.0.6000.16386_none_09330123522ea8c1\wmplayer.exe

.

 

((((((((((((((((((((((((((((( snapshot@2008-03-17_12.43.42.36 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-03-17 11:41:02 67,584 --s-a-w C:\Windows\bootstat.dat

+ 2008-03-17 12:07:04 67,584 --s-a-w C:\Windows\bootstat.dat

- 2008-03-17 11:41:33 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-03-17 12:07:31 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-03-17 12:07:31 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1

- 2008-03-17 11:41:33 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-03-17 12:07:31 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-03-17 12:07:31 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1

+ 2008-03-17 11:56:35 203,409 ----a-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\1036\StructuredQuerySchema.bin

- 2008-03-17 08:24:42 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-03-17 11:58:35 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-03-17 11:56:36 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012008031720080318\index.dat

- 2008-03-17 08:24:42 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2008-03-17 11:58:35 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2008-03-17 08:24:42 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2008-03-17 11:58:35 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2008-03-17 08:29:11 104,768 ----a-w C:\Windows\System32\perfc009.dat

+ 2008-03-17 11:46:08 104,768 ----a-w C:\Windows\System32\perfc009.dat

- 2008-03-17 08:29:11 118,450 ----a-w C:\Windows\System32\perfc00C.dat

+ 2008-03-17 11:46:08 118,450 ----a-w C:\Windows\System32\perfc00C.dat

- 2008-03-17 08:29:11 613,046 ----a-w C:\Windows\System32\perfh009.dat

+ 2008-03-17 11:46:08 613,046 ----a-w C:\Windows\System32\perfh009.dat

- 2008-03-17 08:29:11 693,588 ----a-w C:\Windows\System32\perfh00C.dat

+ 2008-03-17 11:46:08 693,588 ----a-w C:\Windows\System32\perfh00C.dat

- 2008-03-17 08:37:28 9,502 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3544533942-1784977860-3230623485-1000_UserData.bin

+ 2008-03-17 11:43:03 9,776 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3544533942-1784977860-3230623485-1000_UserData.bin

- 2008-03-17 08:37:27 59,934 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2008-03-17 11:43:03 60,106 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2008-03-17 11:54:16 4,218 ----a-w C:\Windows\System32\WDI\ERCQueuedResolutions.dat

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 16:51 192512]

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk

backup=C:\Windows\pss\Adobe Gamma Loader.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 22:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

--a------ 2006-07-11 17:12 90112 C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]

--a------ 2008-03-17 11:58 107112 C:\Program Files\Common Files\Symantec Shared\ccApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]

--a------ 2006-11-14 14:55 50736 C:\Program Files\Common Files\AOL\1168252126\ee\AOLSoftware.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2007-12-13 19:10 1688872 C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]

--a------ 2007-12-03 14:21 2213160 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2007-03-01 14:57 153136 C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]

--a------ 2008-01-07 21:02 495616 C:\Program Files\Winamp Remote\bin\OrbTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\osCheck]

--a------ 2008-03-17 09:25 22696 C:\Program Files\Norton Internet Security\osCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

--a------ 2006-11-15 15:49 151552 c:\Program Files\Powercinema\PCMService.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]

--a------ 2006-11-01 09:37 3772416 C:\Windows\RtHDVCpl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]

--a------ 2008-02-02 20:05 1232896 C:\Program Files\Windows Sidebar\sidebar.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmcService]

C:\PROGRA~1\Sygate\SPF\smc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmpcSys]

--a------ 2006-10-23 15:49 1092152 C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSTray]

--a------ 2007-09-20 08:23 132624 C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec PIF AlertEng]

--a------ 2008-01-29 17:38 583048 C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2005-01-10 05:02 704512 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

--a------ 2008-02-02 20:19 1006264 C:\Program Files\Windows Defender\MSASCui.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]

%windir%\WindowsMobile\wmdc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UacDisableNotify"=dword:00000001

"InternetSettingsDisableNotify"=dword:00000001

"AutoUpdateDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3544533942-1784977860-3230623485-1000]

"EnableNotificationsRef"=dword:00000004

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{DA436CA0-E58B-4996-8EDE-274DE8E294FD}"= UDP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect

"{0FA23C55-C820-41B4-BB83-ABE04DCD63B1}"= TCP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect

"{96354A90-BD12-427D-A581-F1C47F001496}"= UDP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL

"{A197A81D-0033-41DC-B736-A83ADDEC61CD}"= TCP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL

"{AECA48C9-A6E0-4796-975B-3B8DEBFFF938}"= UDP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL

"{029A9465-81EE-4FA5-B1F4-F19EE69B8F7B}"= TCP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL

"{3518A30C-0C10-4C5A-97B7-1E64429F5499}"= UDP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed

"{5E92958E-F3C6-454C-8C7B-3B4223A1AC23}"= TCP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed

"{9E6B0F2C-2D95-4A88-8168-6D330910C08A}"= UDP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader

"{C355CFD8-4CC3-453A-811D-F140A070FCE4}"= TCP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader

"{EBBDFFD3-58EB-4E17-9A30-F5C1E7ACDF36}"= UDP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information

"{28670D99-41DC-41F4-A089-14F80BEBD8E6}"= TCP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information

"{6C78C0AD-BD31-4AE7-BD4A-0CFEA9BCAE60}"= UDP:C:\Program Files\Powercinema\PowerCinema.exe:CyberLink PowerCinema

"{B7E33DB0-F6B2-4AB0-AE3F-DE11068083A3}"= TCP:C:\Program Files\Powercinema\PowerCinema.exe:CyberLink PowerCinema

"{3A0EE406-945B-470E-AE4C-D3465566641E}"= UDP:C:\Program Files\Powercinema\PCMService.exe:CyberLink PowerCinema Resident Program

"{C4341CA6-8DF4-47B2-BC07-AEBAAF9006A4}"= TCP:C:\Program Files\Powercinema\PCMService.exe:CyberLink PowerCinema Resident Program

"{BA55FAD7-3306-4C32-AC52-43394C88FD63}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype

"{B47D8F40-694B-4AC5-B26C-97B3AE71283D}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

"TCP Query User{2456F391-2B45-4AE9-94FA-AE47D6F53FDF}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule

"UDP Query User{B1181FDF-5F0C-4F35-8EBE-9A1A36C8FA6C}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule

"{513EC989-0374-4D24-850E-5F241BAFCD42}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook

"{4E0F7991-85E5-4189-AF8F-4A4AD0056D22}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"{1FBDC802-E92D-4BB3-BE33-9E037F9A03D6}"= UDP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb

"{7DDB888A-8B11-4578-83B1-15C7A662516C}"= TCP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb

"{88F2FFD2-2840-4E46-B0E7-A7CECADA330B}"= UDP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray

"{B6551FA8-FCE0-4F70-9212-6AEA386B90DD}"= TCP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray

"{509BE758-C78F-4B0D-86B1-3FB34A110F24}"= UDP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client

"{44FDF164-1C5C-470B-B1A9-A38E8C106D1A}"= TCP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client

"{D65B6F30-71CA-4B42-9EA1-417BCE7B5190}"= UDP:C:\Windows\System32\muzapp.exe:MUZ AOD APP player

"{196FF724-F6CE-48F7-82F1-8695A16F6335}"= TCP:C:\Windows\System32\muzapp.exe:MUZ AOD APP player

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]

"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"= 0 (0x0)

 

R1 IDSvix86;Symantec Intrusion Prevention Driver;C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20080314.001\IDSvix86.sys [2008-02-13 17:18]

R2 RapiMgr;Windows Mobile-based device connectivity;C:\Windows\system32\svchost.exe [2006-11-02 10:45]

R3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-24 14:46]

R3 rt61x86;Ralink RT61 Wireless Driver for Windows Vista;C:\Windows\system32\DRIVERS\netr61.sys [2007-05-11 16:28]

R3 SYMNDISV;SYMNDISV;C:\Windows\system32\Drivers\SYMNDISV.SYS [2008-03-07 13:39]

S2 WcesComm;Windows Mobile-2003-based device connectivity;C:\Windows\system32\svchost.exe [2006-11-02 10:45]

S3 ovt530;Webcam Deluxe;C:\Windows\system32\Drivers\ov530vid.sys [2005-03-15 17:04]

S3 vncmirror;vncmirror;C:\Windows\system32\DRIVERS\vncmirror.sys [2007-10-17 12:54]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

bthsvcs REG_MULTI_SZ BthServ

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

\shell\AutoRun\command - E:\wd_windows_tools\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c231033-e9c3-11dc-b2bf-00038a000015}]

\shell\AutoRun\command - E:\wd_windows_tools\setup.exe

 

*Newly Created Service* - COMHOST

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-17 11:30:49 C:\Windows\Tasks\Extension de garantie.job"

- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe

"2008-03-14 19:00:22 C:\Windows\Tasks\Norton Internet Security - Analyse système complète - Fred.job"

 

 

Log HIJACKTHIS :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:16, on 2008-03-17

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\Explorer.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Fred\Desktop\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\Program Files\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\Program Files\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

 

--

End of file - 5214 bytes

[spilo]

personne pour m'aider ???

[pear]

Bonjour,

 

Il semblerait que vous ayez eu Bagle du premier coup.

 

Généralement , il tue les protections. Vérifiez les vôtres.

 

S'il y a problème, avant de tout avoir à réinstaller:

 

Copiez /collez les lignes suivantes dans le bloc notes, sans ligne blanche au début,

enregistrez, sur le bureau, sous regit.reg et fusionnez(clic droit sur fichier)

Acceptez la modification du régistre.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UacDisableNotify"=dword:00000000

"InternetSettingsDisableNotify"=dword:00000000

"AutoUpdateDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3544533942-1784977860-3230623485-1000]

"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

"EnableFirewall"=-

HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"=-

[spilo]

Bonjour Pear,

 

"Il semblerait que vous ayez eu Bagle du premier coup." heu..."eu" dans le sens "attraper " ou dans le sens "éradiquer" ??

 

J'ai suivis vos instructions, mais un message d'erreur apparait lors de la fusion du fichier :

 

"Impossible d'importer C:\user\fred\documents\regit.reg : le fichier spécifié n'est pas un script du Registre.

vous pouvez uniquement importer des fichiers du registre binaires à partir de l'éditeur de Registre."

 

une idée du pourquoi ?

 

(pour apporter une précision sur le virus, ce matin au démarrage du PC, l'UAC de Vista s'est remis en fonction ... alors que l case était bien décochée dans les options des comptes utilisateurs !)

[pear]

Bonsoir,

 

Il semblerait que vous ayez eu Bagle du premier coup." heu..."eu" dans le sens "attraper " ou dans le sens "éradiquer" ??

 

C'est dans le sens d'éradiquer.

C'est plutôt rare car c'est un coriace.

Pour enlever Combofix:

Démarrer > Exécuter et copier/coller cette commande > "%userprofile%\Bureau\combofix.exe" /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

 

le fichier spécifié n'est pas un script du Registre

C'est de ma faute.

Il y manquait une ligne !

Là, c'est bon.

Copiez /collez les lignes suivantes dans le bloc notes, sans ligne blanche au début,

enregistrez, sur le bureau, sous regit.reg et fusionnez(clic droit sur fichier)

Acceptez la modification du régistre.

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"=-

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UacDisableNotify"=dword:00000000

"InternetSettingsDisableNotify"=dword:00000000

"AutoUpdateDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3544533942-1784977860-3230623485-1000]

"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

"EnableFirewall"=-

HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"=-

Modifié le 18 mars 2008 par pear

[spilo]

Désinstallation de ComboFix -> OK (bien que ça n'ai fonctionné qu'avec "%userprofile%\Desktop\combofix.exe" /u chez moi !)

 

J'ai renouvelé l'opération avec la ligne en plus ... et cette fois un autre message :

 

"Impossible d'importer C:\User\Fred\Documents\regit.reg : Toutes les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le système ou par d'autres processus."

 

Faut-il renouveler l'opération en mode "sans-échecs" ou désactiver certains processus ???

[pear]

Non.Ce n'est pas grave, puisque si vos protections ne marchent pas convenablement, vous serez obligé de les réinstaller,

ce qui remettra ces clés à leur juste valeur.

[spilo]

Satisfait par votre dernier post

 

je désinstalle tout ce qui touche à la sécurité en vue d'une réinstallation propre, puis reboot

 

...tient ?! l'UAC est de retour (et la case n'est toujours pas coché dans les options des comptes utilisateurs ??), dès la ré-installation d'ANTIVIR !

l'installation se déroule bien, mais lors de la mise à jour : "connection au serveur failed"

 

j'ai vraiment pas l'impression que mon pc soit propre ?

 

quel soft me donnerais un log exploitable pour en être sûre ?

[pear]

Bonsoir,

 

Télécharger Antivir ( http://www.free-av.com).

NB : le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :

--- failles de votre antivirus qui a laissé passer des malwares

--- En mode sans échec ,seuls les processus systèmes sont lancés.Il est donc plus facile de supprimer les infections

--- Antivir peut-être installé et désinstallé facilement

--- Antivir est reconnu pour son efficacité en mode sans échec

--- Ce tutorial permet de le paramétrer aisément

http://www.malekal.com/tutorial_antivir.php

Désactivez votre antivirus actuel

 

Redémarrez en mode sans échec.

Lancez le scan

 

Postez le rapport