Encore une infection

[Rex Nirvana]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:32:01, on 24/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Documents and Settings\All Users\Application Data\olkvsnap\odoburqr.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\elqzkhyf.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Aymane\Bureau\HiJackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ddcaxus.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1206355557.dll

O2 - BHO: Media Player Classic - {D2A8552D-4340-413E-B94E-245827FBC269} - C:\WINDOWS\ausctv32a.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\svchost.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\windowsupdate.exe

O4 - HKLM\..\Run: [antiviirus] C:\Program Files\antiviirus.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\svchost.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Aymane\Local Settings\Application Data\windowsupdate.exe

O4 - HKCU\..\Run: [kqwlrdxx] C:\WINDOWS\system32\elqzkhyf.exe

O4 - HKLM\..\Policies\Explorer\Run: [CbzAWiP8Ko] C:\Documents and Settings\All Users\Application Data\olkvsnap\odoburqr.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [NoDNS] C:\Program Files\\NoDNS\\NoDNS.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\svchost.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\windowsupdate.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1205517410515

O17 - HKLM\System\CCS\Services\Tcpip\..\{714403AA-1648-44E7-93FE-0E4827F6F75D}: NameServer = 85.255.116.27,85.255.112.70

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.27 85.255.112.70

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: affcfdeebcc - C:\WINDOWS\system32\affcfdeebcc.dll (file missing)

O20 - Winlogon Notify: ddcaxus - C:\WINDOWS\SYSTEM32\ddcaxus.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Print2Email - Unknown owner - C:\WINDOWS\pdf.exe (file missing)

O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing)

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - C:\Program Files\Windows Live\Messenger\usnsvc.exe (file missing)

 

--

End of file - 7140 bytes

 

Symptômes : Beaucoup de "Oh, votre ordi est infecté", des fenêtres vers des téléchargements d'anti-spyware douteux qui s'ouvrent intempestivement.

[pear]

Bonsoir,

 

élécharger le FixWareout du site suivant sur le bureau:

http://downloads.subratam.org/Fixwareout.exe

 

Lancer le fix: cliquer sur Next, puis Install, s'assureri que "Run fixit" est activé et cliquer sur Finish.

--> Le programme va commencer, suivre les messages à l'écran.

Il sera demandé de redémarrer ton ordinateur,.

 

Le système mettra un peu plus de temps au démarrage, c'est normal.

 

--> Au final, poster le contenu de C:\fixwareout\report.txt

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Si jamais la connexion Internet était perdue après cette manipulation,ou pour des O17 récalcitrantes,

Démarrer-> Exécuter->

Copier-coller

cmd /k ipconfig /flushdns

 

Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Utilisation ----- option 1 - Recherche :

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

Poster le rapport sur le forum.

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

 

 

Utilisation -----> option 2 -Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention que l'option 2 de l'outil supprime le fond d'écran !

 

 

* Télécharger SDFix (créé par AndyManchesta) et le sauvegarder sur le Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.

 

Redémarrer en mode sans échec

 

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.bat pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

 

Si Sdfix ne se lance pas:

Démarrer->Exécuter

Copiez/collez ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

 

 

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

 

Nouvel Hijackthis.

Postez tous les rapports, svp

.

Modifié le 24 mars 2008 par pear

[Rex Nirvana]

Rapport FixWareOut :

 

Username "Aymane" - 25/03/2008 19:19:24 [Fixwareout edited 9/01/2007]

 

~~~~~ Prerun check

HKLM\SOFTWARE\~\Winlogon\ "System"="kdzzx.exe"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

"nameserver"="85.255.116.27 85.255.112.70" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{714403AA-1648-44E7-93FE-0E4827F6F75D}

"nameserver"="85.255.116.27,85.255.112.70" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{C5BA0FEA-9CC6-45F3-A32C-683577C11950}

"DhcpNameServer"="85.255.116.27,85.255.112.70" <Value cleared.

 

Cache de résolution DNS vidé.

 

 

System was rebooted successfully.

 

~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....

~~~~~ Other

C:\WINDOWS\Temp\kdzzx.ren 61440 19/08/2004

 

~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"

"Alcmtr"="ALCMTR.EXE"

"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"

"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""

"ntuser"="C:\\WINDOWS\\system32\\drivers\\svchost.exe"

"autoload"="C:\\Documents and Settings\\LocalService\\Local Settings\\Application Data\\windowsupdate.exe"

"antiviirus"="C:\\Program Files\\antiviirus.exe"

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="\"C:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"

"ares"="\"C:\\Program Files\\Ares\\Ares.exe\" -h"

"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

"DAEMON Tools Lite"="\"C:\\Program Files\\DAEMON Tools Lite\\daemon.exe\""

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

"ntuser"="C:\\WINDOWS\\system32\\drivers\\svchost.exe"

"autoload"="C:\\Documents and Settings\\Aymane\\Local Settings\\Application Data\\windowsupdate.exe"

"kqwlrdxx"="C:\\WINDOWS\\system32\\elqzkhyf.exe"

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~

 

 

 

 

 

Rapport SmitFraudfix :

 

SmitFraudFix v2.308

 

Rapport fait à 19:51:46,81, 25/03/2008

Executé à partir de C:\Documents and Settings\Aymane\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\elqzkhyf.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\cmd.exe

C:\Documents and Settings\Aymane\Local Settings\Application Data\windowsupdate.exe

C:\Documents and Settings\Aymane\Local Settings\Application Data\windowsupdate.exe

C:\Documents and Settings\Aymane\Local Settings\Application Data\windowsupdate.exe

C:\Documents and Settings\Aymane\Local Settings\Application Data\windowsupdate.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\drivers\svchost.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aymane

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Aymane\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Aymane\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\tmp???????.exe PRESENT !

C:\Program Files\Helper\ PRESENT !

C:\Program Files\tmp?.exe PRESENT !

C:\Program Files\Video Add-on\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

+--------------------------------------------------+

[!] Suspicious: ausctv32a.dll

BHO: Media Player Classic - {D2A8552D-4340-413E-B94E-245827FBC269}

CLSID: {D2A8552D-4340-413E-B94E-245827FBC269}

AppID: {D2A8552D-4340-413E-B94E-245827FBC269}

AppID: ausctv32a.dll

Classes: ausctv32a.Video

TypeLib: {74D46BBA-5638-473A-83B6-97E7804A7411}

Interface: {48D78BE5-CFB9-4B66-9AC4-96D4CF21DE06}

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"system"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte réseau virtuelle FreeBox USB #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

Description: Carte réseau virtuelle FreeBox USB #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.53.252

DNS Server Search Order: 212.27.54.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{26021DE9-A1D7-4F65-B722-96DFCBA95022}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{714403AA-1648-44E7-93FE-0E4827F6F75D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{26021DE9-A1D7-4F65-B722-96DFCBA95022}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{714403AA-1648-44E7-93FE-0E4827F6F75D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{26021DE9-A1D7-4F65-B722-96DFCBA95022}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{714403AA-1648-44E7-93FE-0E4827F6F75D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

SmitFraudFix v2.308

 

Rapport fait à 19:56:13,98, 25/03/2008

Executé à partir de C:\Documents and Settings\Aymane\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\WINDOWS\system32\drivers\svchost.exe supprimé

C:\Program Files\tmp???????.exe supprimé

C:\Program Files\Helper\ supprimé

C:\Program Files\Video Add-on\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

C:\WINDOWS\ausctv32a.dll deleted.

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Carte réseau virtuelle FreeBox USB #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.54.252

DNS Server Search Order: 212.27.53.252

 

Description: Carte réseau virtuelle FreeBox USB #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.53.252

DNS Server Search Order: 212.27.54.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{26021DE9-A1D7-4F65-B722-96DFCBA95022}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{714403AA-1648-44E7-93FE-0E4827F6F75D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{26021DE9-A1D7-4F65-B722-96DFCBA95022}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{714403AA-1648-44E7-93FE-0E4827F6F75D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{26021DE9-A1D7-4F65-B722-96DFCBA95022}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS3\Services\Tcpip\..\{714403AA-1648-44E7-93FE-0E4827F6F75D}: DhcpNameServer=212.27.54.252 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"system"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Rapport SDFix :

 

SDFix: Version 1.161

 

Run by Aymane on 25/03/2008 at 20:08

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

Name:

Print2Email

yeyqase

 

Path:

"C:\WINDOWS\pdf.exe"

\??\C:\WINDOWS\system32\ras\yeyqase.mis

 

Print2Email - Deleted

yeyqase - Deleted

 

 

C:\WINDOWS\system32\Microsoft\backup.ftp Found

C:\WINDOWS\system32\Microsoft\backup.tftp Found

 

Checking files:

 

Genuine:

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\138381~1 - Deleted

C:\WINDOWS\Temp\297E.tmp.lst - Deleted

C:\WINDOWS\Temp\2CC3.tmp.lst - Deleted

C:\WINDOWS\Temp\3044.tmp.lst - Deleted

C:\WINDOWS\Temp\3BB4.tmp.lst - Deleted

C:\WINDOWS\Temp\4371.tmp.lst - Deleted

C:\WINDOWS\Temp\5927.tmp.lst - Deleted

C:\WINDOWS\Temp\5E7E.tmp.lst - Deleted

C:\WINDOWS\Temp\60A1.tmp.lst - Deleted

C:\WINDOWS\Temp\E93.tmp.lst - Deleted

C:\Program Files\JavaCore\JavaCore.exe - Deleted

C:\Program Files\JavaCore\UnInstall.exe - Deleted

C:\Program Files\nvcoi\mst.stt - Deleted

C:\Program Files\nvcoi\nvcoi.exe - Deleted

C:\WINDOWS\b153.exe - Deleted

C:\WINDOWS\system32\drivers\svchost.exe - Deleted

C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted

C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted

C:\WINDOWS\system32\ras\yeyqase.mis - Deleted

 

 

 

Folder C:\Program Files\JavaCore - Removed

Folder C:\Program Files\nvcoi - Removed

Folder C:\Program Files\Temporary - Removed

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-25 20:25:47

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools Lite\"

"h0"=dword:00000000

"khjeh"=hex:12,e5,29,9e,8e,19,9b,20,00,db,27,45,52,bd,3b,df,a9,57,83,e9,ca,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,9c,c4,5f,a0,ed,24,7e,65,3c,df,ce,e3,c0,39,69,49,f2,..

"khjeh"=hex:ab,46,a5,b6,b4,52,d9,e9,4a,a6,ec,dd,4e,f0,bb,60,0e,63,2e,6b,d7,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:c0,b4,04,b6,ff,d9,70,cb,4c,33,35,09,9d,ae,e2,c7,30,d3,ad,40,28,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools Lite\"

"h0"=dword:00000000

"khjeh"=hex:12,e5,29,9e,8e,19,9b,20,00,db,27,45,52,bd,3b,df,a9,57,83,e9,ca,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,9c,c4,5f,a0,ed,24,7e,65,3c,df,ce,e3,c0,39,69,49,f2,..

"khjeh"=hex:ab,46,a5,b6,b4,52,d9,e9,4a,a6,ec,dd,4e,f0,bb,60,0e,63,2e,6b,d7,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:c0,b4,04,b6,ff,d9,70,cb,4c,33,35,09,9d,ae,e2,c7,30,d3,ad,40,28,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 309

 

 

Remaining Services :

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

@=""

"C:\\WINDOWS\\system32\\fbzljr.exe"="C:\\WINDOWS\\system32\\fbzljr.exe:*:Enabled:Flash Media"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Sat 15 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Mon 24 Mar 2008 60,464 ..SH. --- "C:\Documents and Settings\Aymane\Local Settings\Application Data\windowsupdate.exe"

Mon 24 Mar 2008 83,154 ..SH. --- "C:\Documents and Settings\LocalService\Local Settings\Application Data\windowsupdate.exe"

 

Finished!

 

 

 

Rapport Hijackthis :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:31:21, on 25/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\elqzkhyf.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Aymane\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ddcaxus.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [kqwlrdxx] C:\WINDOWS\system32\elqzkhyf.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [NoDNS] C:\Program Files\\NoDNS\\NoDNS.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1205517410515

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: affcfdeebcc - C:\WINDOWS\system32\affcfdeebcc.dll (file missing)

O20 - Winlogon Notify: ddcaxus - C:\WINDOWS\SYSTEM32\ddcaxus.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing)

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 5363 bytes

[pear]

Bonsoir,

 

Vous aller télécharger Combofix.

Auparavant, et pour pour éviter quelque mauvaise manoeuvre avec ce logiciel très puissant,lisez attentivement ce tutoriel:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

 

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

 

 

Télécharger combofix.exe de sUBs et sauvegardez le sur le bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

* Taper sur la touche 1 pour démarrer le scan.

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé,( cela pourrait prendre un certain temps),un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

 

[Rex Nirvana]

ComboFix 08-03-25.1 - Aymane 2008-03-26 14:01:29.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.447 [GMT 1:00]

Endroit: C:\Documents and Settings\Aymane\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\awtsp.dll

C:\WINDOWS\system32\byxvwvs.dll

C:\WINDOWS\system32\ddcaxus.dll

C:\WINDOWS\system32\ddccc.dll

C:\WINDOWS\system32\ddcyx.dll

C:\WINDOWS\system32\geebx.dll

C:\WINDOWS\system32\geeda.dll

C:\WINDOWS\system32\mllmm.dll

C:\WINDOWS\system32\pmkjh.dll

C:\WINDOWS\system32\pmnno.dll

C:\WINDOWS\system32\qomnkkl.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-26 to 2008-03-26 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-26 11:38 . 2008-03-26 11:38 298,048 --a------ C:\WINDOWS\system32\vtstt.dll

2008-03-25 20:39 . 2008-03-25 20:39 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX

2008-03-25 20:38 . 2008-03-26 14:05 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-03-25 20:30 . 2008-03-25 20:30 298,048 --a------ C:\WINDOWS\system32\pmnnn.dll

2008-03-25 20:04 . 2008-03-25 20:27 <REP> d-------- C:\SDFix

2008-03-25 19:50 . 2008-03-25 19:56 2,296 --a------ C:\WINDOWS\system32\tmp.reg

2008-03-25 19:49 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-03-25 19:49 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-03-25 19:49 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-03-25 19:49 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-03-25 19:49 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-03-25 19:49 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-03-25 19:49 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-03-25 19:19 . 2008-03-25 20:32 <REP> d-------- C:\fixwareout

2008-03-25 19:08 . 2008-03-25 19:08 298,048 --a------ C:\WINDOWS\system32\mllmj.dll

2008-03-25 12:24 . 2008-03-25 12:24 298,048 --a------ C:\WINDOWS\system32\ddabc.dll

2008-03-25 11:53 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2008-03-25 11:53 . 2004-08-19 16:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll

2008-03-25 11:53 . 2004-08-19 16:00 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2008-03-25 11:53 . 2004-08-19 16:00 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys

2008-03-25 11:53 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

2008-03-25 11:53 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys

2008-03-24 22:44 . 2008-03-24 22:44 298,048 --a------ C:\WINDOWS\system32\mljgg.dll

2008-03-24 19:58 . 2008-03-24 19:58 298,048 --a------ C:\WINDOWS\system32\geedc.dll

2008-03-24 18:49 . 2008-03-24 18:49 298,048 --a------ C:\WINDOWS\system32\jkhfg.dll

2008-03-24 16:52 . 2008-03-24 16:52 <REP> dr-h----- C:\Documents and Settings\Aymane\Application Data\SecuROM

2008-03-24 16:52 . 2008-03-24 16:52 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-03-24 16:44 . 2008-03-24 16:44 <REP> d-------- C:\Program Files\EA Sports

2008-03-24 14:49 . 2008-03-24 14:49 298,048 --a------ C:\WINDOWS\system32\ddayv.dll

2008-03-24 13:49 . 2008-03-24 13:49 298,048 --a------ C:\WINDOWS\system32\pmnlm.dll

2008-03-24 12:48 . 2008-03-24 12:48 298,048 --a------ C:\WINDOWS\system32\ssqpp.dll

2008-03-24 11:45 . 2008-03-26 11:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\olkvsnap

2008-03-24 11:45 . 2008-03-24 11:45 114,688 --a------ C:\WINDOWS\system32\elqzkhyf.exe

2008-03-24 11:44 . 2008-03-24 11:44 49 --a------ C:\xmp.bat

2008-03-22 22:54 . 2008-03-22 22:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage

2008-03-21 18:30 . 2008-03-21 18:30 <REP> d--h----- C:\WINDOWS\PIF

2008-03-17 23:33 . 2008-03-21 18:27 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\DivX

2008-03-17 23:31 . 2008-03-21 18:24 <REP> d-------- C:\Program Files\DivX

2008-03-17 23:31 . 2008-02-21 03:05 129,784 --------- C:\WINDOWS\system32\pxafs.dll

2008-03-17 23:31 . 2008-02-21 03:05 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe

2008-03-17 23:31 . 2008-02-21 03:05 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe

2008-03-17 22:55 . 2008-03-17 22:55 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\Media Player Classic

2008-03-17 22:17 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys

2008-03-17 22:17 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys

2008-03-16 15:12 . 2008-03-16 15:12 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared

2008-03-16 15:12 . 2008-03-16 15:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems

2008-03-16 14:41 . 2008-03-16 14:54 139,264 --a------ C:\WINDOWS\War3Unin.exe

2008-03-16 14:41 . 2008-03-16 19:49 80,663 --a------ C:\WINDOWS\War3Unin.dat

2008-03-16 14:41 . 2008-03-16 14:54 2,829 --a------ C:\WINDOWS\War3Unin.pif

2008-03-16 14:38 . 2008-03-23 14:21 <REP> d-------- C:\Program Files\Warcraft III

2008-03-16 10:48 . 2008-03-16 10:48 <REP> d-------- C:\Program Files\Microsoft Works

2008-03-16 10:47 . 2008-03-16 10:47 <REP> d-------- C:\Program Files\MSBuild

2008-03-16 10:47 . 2008-03-16 10:47 <REP> d-------- C:\Program Files\Microsoft.NET

2008-03-16 10:44 . 2008-03-16 10:45 <REP> d-------- C:\WINDOWS\SHELLNEW

2008-03-16 10:44 . 2008-03-20 21:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-03-16 10:43 . 2008-03-16 10:43 <REP> dr-h----- C:\MSOCache

2008-03-16 10:38 . 2008-03-16 10:41 <REP> d-------- C:\Program Files\MagicISO

2008-03-16 10:32 . 2008-03-24 16:40 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\DAEMON Tools

2008-03-16 10:31 . 2008-03-16 10:34 <REP> d-------- C:\Program Files\DAEMON Tools Lite

2008-03-16 10:29 . 2008-03-16 10:29 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-03-16 10:24 . 2008-03-26 11:34 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\skypePM

2008-03-16 10:24 . 2008-03-16 10:24 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-03-15 23:34 . 2008-03-15 23:34 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\HP

2008-03-15 23:34 . 2008-03-15 23:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HP

2008-03-15 23:33 . 2008-03-15 23:33 <REP> d-------- C:\bin

2008-03-15 23:32 . 2008-03-15 23:32 <REP> d-------- C:\Program Files\Fichiers communs\Sonic Shared

2008-03-15 23:32 . 2008-03-15 23:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sonic

2008-03-15 23:30 . 2008-03-15 23:30 <REP> d-------- C:\WINDOWS\system32\URTTemp

2008-03-15 23:29 . 2008-03-15 23:32 <REP> d-------- C:\Program Files\Fichiers communs\HP

2008-03-15 23:27 . 2008-03-15 23:27 <REP> d-------- C:\Program Files\Hewlett-Packard

2008-03-15 23:27 . 2008-03-15 23:27 <REP> d-------- C:\Program Files\Fichiers communs\Hewlett-Packard

2008-03-15 23:27 . 2006-04-13 02:04 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys

2008-03-15 23:26 . 2006-01-04 10:12 77,824 -ra------ C:\WINDOWS\system32\HPZIDS01.dll

2008-03-15 23:26 . 2006-04-13 02:04 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys

2008-03-15 23:26 . 2006-04-10 14:03 38,400 --a------ C:\WINDOWS\system32\hpz3l054.dll

2008-03-15 23:26 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-03-15 23:26 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-03-15 23:24 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe

2008-03-15 23:24 . 2006-03-03 21:03 282,680 --a------ C:\WINDOWS\system32\HPZidr12.dll

2008-03-15 23:24 . 2006-03-03 21:02 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll

2008-03-15 23:24 . 2006-03-03 21:02 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll

2008-03-15 23:24 . 2006-03-03 21:03 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe

2008-03-15 23:24 . 2006-03-03 21:03 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe

2008-03-15 23:24 . 2006-03-03 21:02 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll

2008-03-15 23:23 . 2008-03-15 23:34 <REP> d-------- C:\Program Files\HP

2008-03-15 23:23 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-03-15 23:23 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys

2008-03-15 23:23 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-03-15 23:23 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-03-15 23:23 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys

2008-03-15 23:22 . 2008-03-15 23:35 128,275 --a------ C:\WINDOWS\hpoins11.dat

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Program Files\Skype

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Program Files\Fichiers communs\Skype

2008-03-15 23:18 . 2008-03-26 13:50 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\Skype

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype

2008-03-15 23:18 . 2006-10-04 15:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb

2008-03-15 23:18 . 2006-10-04 15:06 764,868 -----c--- C:\WINDOWS\system32\dllcache\apph_sp.sdb

2008-03-15 23:18 . 2006-10-04 15:06 217,118 -----c--- C:\WINDOWS\system32\dllcache\apphelp.sdb

2008-03-15 23:16 . 2008-03-24 08:27 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2008-03-15 23:05 . 2004-08-19 16:10 380,928 --------- C:\WINDOWS\system32\irprops.cpl

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-15 22:11 359,040 ------w C:\WINDOWS\system32\drivers\tcpip.sys

2008-03-15 15:05 15,600 ----a-w C:\WINDOWS\gdrv.sys

2008-03-14 16:51 307,968 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe

2008-03-14 16:51 --------- d-----w C:\Documents and Settings\Aymane\Application Data\TuneUp Software

2008-03-14 16:50 --------- d-----w C:\Program Files\TuneUp Utilities 2008

2008-03-14 16:50 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-03-14 16:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software

2008-03-14 16:27 --------- d-----w C:\Documents and Settings\Aymane\Application Data\InstallShield

2008-03-14 16:08 --------- d-----w C:\Program Files\Free

2008-03-14 15:52 558,142 ----a-w C:\WINDOWS\java\Packages\NXB3ZRBF.ZIP

2008-03-14 15:52 155,995 ----a-w C:\WINDOWS\java\Packages\BH7NJF9Z.ZIP

2008-03-14 15:52 --------- d-----w C:\Program Files\microsoft frontpage

2008-03-14 15:50 --------- d-----w C:\Program Files\Services en ligne

2008-02-27 12:15 28,416 ----a-w C:\WINDOWS\system32\uxtuneup.dll

2008-02-26 15:01 4,737,024 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys

2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys

2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll

2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll

2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll

2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll

2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll

2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll

2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll

2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2008-02-21 02:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2008-02-19 14:34 16,858,112 ----a-w C:\WINDOWS\RTHDCPL.exe

2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll

.

 

------- Sigcheck -------

 

2002-08-30 13:00 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys

2008-03-15 23:11 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"ares"="C:\Program Files\Ares\Ares.exe" [2008-02-20 15:33 963072]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2007-12-15 11:02 482760]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

"kqwlrdxx"="C:\WINDOWS\system32\elqzkhyf.exe" [2008-03-24 11:45 114688]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]

"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-03-16 10:25 579072]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-15 11:07 219136]

"nvcoi"="C:\Program Files\nvcoi\nvcoi.exe" [ ]

"JavaCore"="C:\Program Files\\JavaCore\\JavaCore.exe" [ ]

"NoDNS"="C:\Program Files\\NoDNS\\NoDNS.exe" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="logonui.exe"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\fbzljr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Ares\\Ares.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 16:23]

S2 SAMS;Scanning Analist Management System;C:\WINDOWS\System32\sams.exe []

S2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-19 16:10]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt []

S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-03-15 16:05]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-14 17:51]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\Kit.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-03-26 13:05:37 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-26 14:05:53

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

.

------------------------ Other Running Processes ------------------------

.

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\WINDOWS\Config\csrss.exe

C:\WINDOWS\Config\csrss.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-03-26 14:08:20 - machine was rebooted

ComboFix-quarantined-files.txt 2008-03-26 13:08:17

[pear]

Bonjour,

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Lancez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

 

File::

C:\WINDOWS\system32\vtstt.dll

C:\Program Files\nvcoi\nvcoi.exe

C:\Program Files\Ares\Ares.exe

C:\WINDOWS\system32\elqzkhyf.exe

C:\Program Files\NoDNS\NoDNS.exe

C:\\WINDOWS\system32\fbzljr.exe

C:\WINDOWS\system32\pmnnn.dll

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\mljgg.dll

C:\WINDOWS\system32\geedc.dll

C:\WINDOWS\system32\jkhfg.dll

C:\WINDOWS\system32\ddayv.dll

C:\WINDOWS\system32\pmnlm.dll

C:\WINDOWS\system32\ssqpp.dll

C:\xmp.bat

 

Folder::

C:\Program Files\Ares

C:\Program Files\nvcoi

C:\Program Files\NoDNS

 

Registry::

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kqwlrdxx]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ARES]

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\nvcoi]

[-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\NoDNS]

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

 

Enregistrez-le en lui donnant le nom CFScript.txt

 

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

 

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[Rex Nirvana]

ComboFix 08-03-25.4 - Aymane 2008-03-27 12:49:32.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.635 [GMT 1:00]

Endroit: C:\Documents and Settings\Aymane\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Aymane\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

FILE ::

C:\\WINDOWS\system32\fbzljr.exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\NoDNS\NoDNS.exe

C:\Program Files\nvcoi\nvcoi.exe

C:\WINDOWS\system32\ddayv.dll

C:\WINDOWS\system32\elqzkhyf.exe

C:\WINDOWS\system32\geedc.dll

C:\WINDOWS\system32\jkhfg.dll

C:\WINDOWS\system32\mljgg.dll

C:\WINDOWS\system32\pmnlm.dll

C:\WINDOWS\system32\pmnnn.dll

C:\WINDOWS\system32\ssqpp.dll

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\vtstt.dll

C:\xmp.bat

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\\WINDOWS\system32\fbzljr.exe

C:\Program Files\Ares

C:\Program Files\Ares\Ares.exe

C:\Program Files\Ares\AsyncEx.ax

C:\Program Files\Ares\bass.dll

C:\Program Files\Ares\chatServer.exe

C:\Program Files\Ares\data\Blocked.txt.sample

C:\Program Files\Ares\data\Blocked_Keywords.txt.sample

C:\Program Files\Ares\data\ChanListFilter.txt

C:\Program Files\Ares\data\ChatConf.txt

C:\Program Files\Ares\data\ChatLang.txt.sample

C:\Program Files\Ares\data\flvplayer.swf

C:\Program Files\Ares\data\GUI\General\buttonsbitmap.bmp

C:\Program Files\Ares\data\GUI\General\chat.bmp

C:\Program Files\Ares\data\GUI\General\emotic.bmp

C:\Program Files\Ares\data\GUI\General\libbig.bmp

C:\Program Files\Ares\data\GUI\General\listviewbitmap.bmp

C:\Program Files\Ares\data\GUI\General\logo.bmp

C:\Program Files\Ares\data\GUI\General\mainbitmap.bmp

C:\Program Files\Ares\data\GUI\General\mimesmall.bmp

C:\Program Files\Ares\data\GUI\General\mplayer.bmp

C:\Program Files\Ares\data\GUI\General\mshareset.bmp

C:\Program Files\Ares\data\GUI\General\prefs.txt

C:\Program Files\Ares\data\GUI\General\searchpnl.bmp

C:\Program Files\Ares\data\GUI\General\searchstars.bmp

C:\Program Files\Ares\data\GUI\General\smalltabsbitmap.bmp

C:\Program Files\Ares\data\GUI\General\tabsBitmap.bmp

C:\Program Files\Ares\data\GUI\General\tabssmall.bmp

C:\Program Files\Ares\data\GUI\General\trackbar.bmp

C:\Program Files\Ares\data\GUI\General\transfer.bmp

C:\Program Files\Ares\data\GUI\OsThemes\chat.bmp

C:\Program Files\Ares\data\GUI\OsThemes\emotic.bmp

C:\Program Files\Ares\data\GUI\OsThemes\libbig.bmp

C:\Program Files\Ares\data\GUI\OsThemes\logo.bmp

C:\Program Files\Ares\data\GUI\OsThemes\mimesmall.bmp

C:\Program Files\Ares\data\GUI\OsThemes\mshareset.bmp

C:\Program Files\Ares\data\GUI\OsThemes\prefs.txt

C:\Program Files\Ares\data\GUI\OsThemes\searchpnl.bmp

C:\Program Files\Ares\data\GUI\OsThemes\searchstars.bmp

C:\Program Files\Ares\data\GUI\OsThemes\smalltabsbitmap.bmp

C:\Program Files\Ares\data\GUI\OsThemes\tabsbig.bmp

C:\Program Files\Ares\data\GUI\OsThemes\tabssmall.bmp

C:\Program Files\Ares\data\GUI\OsThemes\transfer.bmp

C:\Program Files\Ares\data\Homepage.url

C:\Program Files\Ares\data\P2PFilter.txt

C:\Program Files\Ares\lang\Arabic.txt

C:\Program Files\Ares\lang\Chinese.txt

C:\Program Files\Ares\lang\Czech.txt

C:\Program Files\Ares\lang\Danish.txt

C:\Program Files\Ares\lang\Dutch.txt

C:\Program Files\Ares\lang\Finnish.txt

C:\Program Files\Ares\lang\French.txt

C:\Program Files\Ares\lang\German.txt

C:\Program Files\Ares\lang\Italian.txt

C:\Program Files\Ares\lang\Japanese.txt

C:\Program Files\Ares\lang\Kirghiz.txt

C:\Program Files\Ares\lang\Polish.txt

C:\Program Files\Ares\lang\Portuguese.txt

C:\Program Files\Ares\lang\Slovak.txt

C:\Program Files\Ares\lang\Spanish.txt

C:\Program Files\Ares\lang\Swedish.txt

C:\Program Files\Ares\lang\Turkish.txt

C:\Program Files\Ares\libfaad2.dll

C:\Program Files\Ares\MP3Source.ax

C:\Program Files\Ares\Uninstall.exe

C:\WINDOWS\system32\ddayv.dll

C:\WINDOWS\system32\elqzkhyf.exe

C:\WINDOWS\system32\geedc.dll

C:\WINDOWS\system32\jkhfg.dll

C:\WINDOWS\system32\mljgg.dll

C:\WINDOWS\system32\pmnlm.dll

C:\WINDOWS\system32\pmnnn.dll

C:\WINDOWS\system32\ssqpp.dll

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\vtstt.dll

C:\xmp.bat

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\AresChatServer

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-27 to 2008-03-27 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-25 20:39 . 2008-03-25 20:39 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX

2008-03-25 20:38 . 2008-03-27 12:49 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-03-25 20:04 . 2008-03-25 20:27 <REP> d-------- C:\SDFix

2008-03-25 19:49 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-03-25 19:49 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-03-25 19:49 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-03-25 19:49 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-03-25 19:49 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-03-25 19:49 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-03-25 19:49 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-03-25 19:19 . 2008-03-25 20:32 <REP> d-------- C:\fixwareout

2008-03-25 19:08 . 2008-03-25 19:08 298,048 --a------ C:\WINDOWS\system32\mllmj.dll

2008-03-25 12:24 . 2008-03-25 12:24 298,048 --a------ C:\WINDOWS\system32\ddabc.dll

2008-03-25 11:53 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2008-03-25 11:53 . 2004-08-19 16:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll

2008-03-25 11:53 . 2004-08-19 16:00 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2008-03-25 11:53 . 2004-08-19 16:00 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys

2008-03-25 11:53 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

2008-03-25 11:53 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys

2008-03-24 16:52 . 2008-03-24 16:52 <REP> dr-h----- C:\Documents and Settings\Aymane\Application Data\SecuROM

2008-03-24 16:52 . 2008-03-24 16:52 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-03-24 16:44 . 2008-03-24 16:44 <REP> d-------- C:\Program Files\EA Sports

2008-03-24 11:45 . 2008-03-26 11:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\olkvsnap

2008-03-22 22:54 . 2008-03-22 22:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage

2008-03-21 18:30 . 2008-03-21 18:30 <REP> d--h----- C:\WINDOWS\PIF

2008-03-17 23:33 . 2008-03-21 18:27 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\DivX

2008-03-17 23:31 . 2008-03-21 18:24 <REP> d-------- C:\Program Files\DivX

2008-03-17 23:31 . 2008-02-21 03:05 129,784 --------- C:\WINDOWS\system32\pxafs.dll

2008-03-17 23:31 . 2008-02-21 03:05 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe

2008-03-17 23:31 . 2008-02-21 03:05 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe

2008-03-17 22:55 . 2008-03-17 22:55 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\Media Player Classic

2008-03-17 22:17 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys

2008-03-17 22:17 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys

2008-03-16 15:12 . 2008-03-16 15:12 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared

2008-03-16 15:12 . 2008-03-16 15:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems

2008-03-16 14:41 . 2008-03-16 14:54 139,264 --a------ C:\WINDOWS\War3Unin.exe

2008-03-16 14:41 . 2008-03-16 19:49 80,663 --a------ C:\WINDOWS\War3Unin.dat

2008-03-16 14:41 . 2008-03-16 14:54 2,829 --a------ C:\WINDOWS\War3Unin.pif

2008-03-16 14:38 . 2008-03-23 14:21 <REP> d-------- C:\Program Files\Warcraft III

2008-03-16 10:48 . 2008-03-16 10:48 <REP> d-------- C:\Program Files\Microsoft Works

2008-03-16 10:47 . 2008-03-16 10:47 <REP> d-------- C:\Program Files\MSBuild

2008-03-16 10:47 . 2008-03-16 10:47 <REP> d-------- C:\Program Files\Microsoft.NET

2008-03-16 10:44 . 2008-03-16 10:45 <REP> d-------- C:\WINDOWS\SHELLNEW

2008-03-16 10:44 . 2008-03-20 21:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-03-16 10:43 . 2008-03-16 10:43 <REP> dr-h----- C:\MSOCache

2008-03-16 10:38 . 2008-03-16 10:41 <REP> d-------- C:\Program Files\MagicISO

2008-03-16 10:32 . 2008-03-24 16:40 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\DAEMON Tools

2008-03-16 10:31 . 2008-03-16 10:34 <REP> d-------- C:\Program Files\DAEMON Tools Lite

2008-03-16 10:29 . 2008-03-16 10:29 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-03-16 10:24 . 2008-03-27 12:43 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\skypePM

2008-03-16 10:24 . 2008-03-16 10:24 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-03-15 23:34 . 2008-03-15 23:34 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\HP

2008-03-15 23:34 . 2008-03-15 23:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HP

2008-03-15 23:33 . 2008-03-15 23:33 <REP> d-------- C:\bin

2008-03-15 23:32 . 2008-03-15 23:32 <REP> d-------- C:\Program Files\Fichiers communs\Sonic Shared

2008-03-15 23:32 . 2008-03-15 23:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sonic

2008-03-15 23:30 . 2008-03-15 23:30 <REP> d-------- C:\WINDOWS\system32\URTTemp

2008-03-15 23:29 . 2008-03-15 23:32 <REP> d-------- C:\Program Files\Fichiers communs\HP

2008-03-15 23:27 . 2008-03-15 23:27 <REP> d-------- C:\Program Files\Hewlett-Packard

2008-03-15 23:27 . 2008-03-15 23:27 <REP> d-------- C:\Program Files\Fichiers communs\Hewlett-Packard

2008-03-15 23:27 . 2006-04-13 02:04 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys

2008-03-15 23:26 . 2006-01-04 10:12 77,824 -ra------ C:\WINDOWS\system32\HPZIDS01.dll

2008-03-15 23:26 . 2006-04-13 02:04 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys

2008-03-15 23:26 . 2006-04-10 14:03 38,400 --a------ C:\WINDOWS\system32\hpz3l054.dll

2008-03-15 23:26 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-03-15 23:26 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-03-15 23:24 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe

2008-03-15 23:24 . 2006-03-03 21:03 282,680 --a------ C:\WINDOWS\system32\HPZidr12.dll

2008-03-15 23:24 . 2006-03-03 21:02 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll

2008-03-15 23:24 . 2006-03-03 21:02 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll

2008-03-15 23:24 . 2006-03-03 21:03 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe

2008-03-15 23:24 . 2006-03-03 21:03 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe

2008-03-15 23:24 . 2006-03-03 21:02 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll

2008-03-15 23:23 . 2008-03-15 23:34 <REP> d-------- C:\Program Files\HP

2008-03-15 23:23 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-03-15 23:23 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys

2008-03-15 23:23 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-03-15 23:23 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-03-15 23:23 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys

2008-03-15 23:22 . 2008-03-15 23:35 128,275 --a------ C:\WINDOWS\hpoins11.dat

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Program Files\Skype

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Program Files\Fichiers communs\Skype

2008-03-15 23:18 . 2008-03-27 12:44 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\Skype

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype

2008-03-15 23:18 . 2006-10-04 15:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb

2008-03-15 23:18 . 2006-10-04 15:06 764,868 -----c--- C:\WINDOWS\system32\dllcache\apph_sp.sdb

2008-03-15 23:18 . 2006-10-04 15:06 217,118 -----c--- C:\WINDOWS\system32\dllcache\apphelp.sdb

2008-03-15 23:16 . 2008-03-24 08:27 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2008-03-15 23:05 . 2004-08-19 16:10 380,928 --------- C:\WINDOWS\system32\irprops.cpl

2008-03-15 23:05 . 2004-08-19 16:10 163,840 --------- C:\WINDOWS\system32\wuaucpl.cpl

2008-03-15 22:58 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002408_.tmp

2008-03-15 16:40 . 2008-03-15 16:40 <REP> d---s---- C:\Documents and Settings\LocalService\Favoris

2008-03-15 16:33 . 2008-03-15 16:35 <REP> d-------- C:\WINDOWS\NV23922432.TMP

2008-03-15 16:00 . 2008-03-15 16:00 <REP> d-------- C:\Program Files\DIFX

2008-03-15 16:00 . 2006-06-18 23:40 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys

2008-03-15 15:17 . 2008-03-15 15:17 <REP> d-------- C:\Program Files\Guitar Pro 5

2008-03-15 13:58 . 2002-08-30 13:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex

2008-03-15 13:57 . 2002-08-30 13:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

2008-03-15 13:56 . 2001-08-23 17:47 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll

2008-03-15 13:56 . 2001-08-23 17:46 315,904 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_aqueue.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-15 22:11 359,040 ------w C:\WINDOWS\system32\drivers\tcpip.sys

2008-03-15 15:05 15,600 ----a-w C:\WINDOWS\gdrv.sys

2008-03-14 16:51 --------- d-----w C:\Documents and Settings\Aymane\Application Data\TuneUp Software

2008-03-14 16:50 --------- d-----w C:\Program Files\TuneUp Utilities 2008

2008-03-14 16:50 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-03-14 16:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software

2008-03-14 16:27 --------- d-----w C:\Documents and Settings\Aymane\Application Data\InstallShield

2008-03-14 16:08 --------- d-----w C:\Program Files\Free

2008-03-14 15:52 --------- d-----w C:\Program Files\microsoft frontpage

2008-03-14 15:50 --------- d-----w C:\Program Files\Services en ligne

2008-02-26 15:01 4,737,024 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys

2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys

2008-02-19 14:34 16,858,112 ----a-w C:\WINDOWS\RTHDCPL.exe

.

 

------- Sigcheck -------

 

2002-08-30 13:00 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys

2008-03-15 23:11 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((( snapshot@2008-03-26_14.08.08.37 )))))))))))))))))))))))))))))))))))))))))

.

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"ares"="C:\Program Files\Ares\Ares.exe" [ ]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2007-12-15 11:02 482760]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

"kqwlrdxx"="C:\WINDOWS\system32\elqzkhyf.exe" [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]

"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-03-16 10:25 579072]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-15 11:07 219136]

"nvcoi"="C:\Program Files\nvcoi\nvcoi.exe" [ ]

"JavaCore"="C:\Program Files\\JavaCore\\JavaCore.exe" [ ]

"NoDNS"="C:\Program Files\\NoDNS\\NoDNS.exe" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="logonui.exe"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt []

S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 16:23]

S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-03-15 16:05]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\Kit.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-03-27 11:52:24 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-27 12:52:45

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

.

------------------------ Other Running Processes ------------------------

.

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-03-27 12:54:03 - machine was rebooted

ComboFix-quarantined-files.txt 2008-03-27 11:54:00

ComboFix2.txt 2008-03-26 13:08:20

[pear]

Bonjour,

 

Il y a du mieux.

 

Il reste encore des bricoles:

 

Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Lancez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

C:\Program Files\nvcoi\nvcoi.exe

C:\Program Files\NoDNS\NoDNS.exe

C:\WINDOWS\system32\elqzkhyf.exe

 

Folder::

C:\Program Files\nvcoi

C:\Program Files\NoDNS

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ares"=-

"kqwlrdxx"=-

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"nvcoi"=-

"NoDNS"=-

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

 

Enregistrez-le en lui donnant le nom CFScript.txt

 

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

 

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

et unnouvel Hijackthis, svp.

Modifié le 27 mars 2008 par pear

[Rex Nirvana]

ComboFix 08-03-26.3 - Aymane 2008-03-28 12:33:35.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.524 [GMT 1:00]

Endroit: C:\Documents and Settings\Aymane\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Aymane\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-02-28 to 2008-03-28 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-27 18:56 . 2008-03-27 18:56 <REP> d-------- C:\Program Files\Sony Corporation

2008-03-27 18:56 . 2008-03-27 18:56 <REP> d-------- C:\Program Files\Fichiers communs\muvee Technologies

2008-03-27 18:47 . 2008-03-27 18:47 <REP> d-------- C:\Program Files\Concord Camera Corp

2008-03-27 18:47 . 2004-05-22 03:21 517,131 --a------ C:\WINDOWS\system32\drivers\Ca536av.sys

2008-03-27 18:47 . 2002-01-19 15:33 131,072 --a------ C:\WINDOWS\system32\SP5X_32.DLL

2008-03-27 18:47 . 2004-05-21 14:42 18,944 --a------ C:\WINDOWS\system32\Dext536.ax

2008-03-27 18:47 . 2003-05-14 17:28 11,048 --a------ C:\WINDOWS\system32\drivers\Bulk536.sys

2008-03-27 18:47 . 2004-05-14 14:48 470 --a------ C:\WINDOWS\system32\dext536.ini

2008-03-25 20:39 . 2008-03-25 20:39 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX

2008-03-25 20:38 . 2008-03-27 12:49 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-03-25 20:04 . 2008-03-25 20:27 <REP> d-------- C:\SDFix

2008-03-25 19:49 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-03-25 19:49 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-03-25 19:49 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-03-25 19:49 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-03-25 19:49 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-03-25 19:49 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-03-25 19:49 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-03-25 19:19 . 2008-03-25 20:32 <REP> d-------- C:\fixwareout

2008-03-25 19:08 . 2008-03-25 19:08 298,048 --a------ C:\WINDOWS\system32\mllmj.dll

2008-03-25 12:24 . 2008-03-25 12:24 298,048 --a------ C:\WINDOWS\system32\ddabc.dll

2008-03-25 11:53 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2008-03-25 11:53 . 2004-08-19 16:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll

2008-03-25 11:53 . 2004-08-19 16:00 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2008-03-25 11:53 . 2004-08-19 16:00 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys

2008-03-25 11:53 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

2008-03-25 11:53 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys

2008-03-24 16:52 . 2008-03-24 16:52 <REP> dr-h----- C:\Documents and Settings\Aymane\Application Data\SecuROM

2008-03-24 16:52 . 2008-03-24 16:52 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-03-24 16:44 . 2008-03-24 16:44 <REP> d-------- C:\Program Files\EA Sports

2008-03-24 11:45 . 2008-03-26 11:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\olkvsnap

2008-03-22 22:54 . 2008-03-22 22:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage

2008-03-21 18:30 . 2008-03-21 18:30 <REP> d--h----- C:\WINDOWS\PIF

2008-03-17 23:33 . 2008-03-21 18:27 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\DivX

2008-03-17 23:31 . 2008-03-21 18:24 <REP> d-------- C:\Program Files\DivX

2008-03-17 23:31 . 2008-02-21 03:05 129,784 --------- C:\WINDOWS\system32\pxafs.dll

2008-03-17 23:31 . 2008-02-21 03:05 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe

2008-03-17 23:31 . 2008-02-21 03:05 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe

2008-03-17 22:55 . 2008-03-17 22:55 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\Media Player Classic

2008-03-17 22:17 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys

2008-03-17 22:17 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys

2008-03-16 15:12 . 2008-03-16 15:12 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared

2008-03-16 15:12 . 2008-03-16 15:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems

2008-03-16 14:41 . 2008-03-16 14:54 139,264 --a------ C:\WINDOWS\War3Unin.exe

2008-03-16 14:41 . 2008-03-16 19:49 80,663 --a------ C:\WINDOWS\War3Unin.dat

2008-03-16 14:41 . 2008-03-16 14:54 2,829 --a------ C:\WINDOWS\War3Unin.pif

2008-03-16 14:38 . 2008-03-23 14:21 <REP> d-------- C:\Program Files\Warcraft III

2008-03-16 10:48 . 2008-03-16 10:48 <REP> d-------- C:\Program Files\Microsoft Works

2008-03-16 10:47 . 2008-03-16 10:47 <REP> d-------- C:\Program Files\MSBuild

2008-03-16 10:47 . 2008-03-16 10:47 <REP> d-------- C:\Program Files\Microsoft.NET

2008-03-16 10:44 . 2008-03-16 10:45 <REP> d-------- C:\WINDOWS\SHELLNEW

2008-03-16 10:44 . 2008-03-20 21:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-03-16 10:43 . 2008-03-16 10:43 <REP> dr-h----- C:\MSOCache

2008-03-16 10:38 . 2008-03-16 10:41 <REP> d-------- C:\Program Files\MagicISO

2008-03-16 10:32 . 2008-03-24 16:40 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\DAEMON Tools

2008-03-16 10:31 . 2008-03-16 10:34 <REP> d-------- C:\Program Files\DAEMON Tools Lite

2008-03-16 10:29 . 2008-03-16 10:29 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-03-16 10:24 . 2008-03-28 09:24 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\skypePM

2008-03-16 10:24 . 2008-03-16 10:24 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-03-15 23:34 . 2008-03-15 23:34 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\HP

2008-03-15 23:34 . 2008-03-15 23:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\HP

2008-03-15 23:33 . 2008-03-15 23:33 <REP> d-------- C:\bin

2008-03-15 23:32 . 2008-03-15 23:32 <REP> d-------- C:\Program Files\Fichiers communs\Sonic Shared

2008-03-15 23:32 . 2008-03-15 23:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sonic

2008-03-15 23:30 . 2008-03-15 23:30 <REP> d-------- C:\WINDOWS\system32\URTTemp

2008-03-15 23:29 . 2008-03-15 23:32 <REP> d-------- C:\Program Files\Fichiers communs\HP

2008-03-15 23:27 . 2008-03-15 23:27 <REP> d-------- C:\Program Files\Hewlett-Packard

2008-03-15 23:27 . 2008-03-15 23:27 <REP> d-------- C:\Program Files\Fichiers communs\Hewlett-Packard

2008-03-15 23:27 . 2006-04-13 02:04 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys

2008-03-15 23:26 . 2006-01-04 10:12 77,824 -ra------ C:\WINDOWS\system32\HPZIDS01.dll

2008-03-15 23:26 . 2006-04-13 02:04 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys

2008-03-15 23:26 . 2006-04-10 14:03 38,400 --a------ C:\WINDOWS\system32\hpz3l054.dll

2008-03-15 23:26 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys

2008-03-15 23:26 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys

2008-03-15 23:24 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe

2008-03-15 23:24 . 2006-03-03 21:03 282,680 --a------ C:\WINDOWS\system32\HPZidr12.dll

2008-03-15 23:24 . 2006-03-03 21:02 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll

2008-03-15 23:24 . 2006-03-03 21:02 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll

2008-03-15 23:24 . 2006-03-03 21:03 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe

2008-03-15 23:24 . 2006-03-03 21:03 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe

2008-03-15 23:24 . 2006-03-03 21:02 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll

2008-03-15 23:23 . 2008-03-15 23:34 <REP> d-------- C:\Program Files\HP

2008-03-15 23:23 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-03-15 23:23 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys

2008-03-15 23:23 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-03-15 23:23 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-03-15 23:23 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys

2008-03-15 23:22 . 2008-03-15 23:35 128,275 --a------ C:\WINDOWS\hpoins11.dat

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Program Files\Skype

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Program Files\Fichiers communs\Skype

2008-03-15 23:18 . 2008-03-28 12:24 <REP> d-------- C:\Documents and Settings\Aymane\Application Data\Skype

2008-03-15 23:18 . 2008-03-15 23:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype

2008-03-15 23:18 . 2006-10-04 15:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb

2008-03-15 23:18 . 2006-10-04 15:06 764,868 -----c--- C:\WINDOWS\system32\dllcache\apph_sp.sdb

2008-03-15 23:18 . 2006-10-04 15:06 217,118 -----c--- C:\WINDOWS\system32\dllcache\apphelp.sdb

2008-03-15 23:16 . 2008-03-24 08:27 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2008-03-15 23:05 . 2004-08-19 16:10 380,928 --------- C:\WINDOWS\system32\irprops.cpl

2008-03-15 23:05 . 2004-08-19 16:10 163,840 --------- C:\WINDOWS\system32\wuaucpl.cpl

2008-03-15 22:58 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002408_.tmp

2008-03-15 16:40 . 2008-03-15 16:40 <REP> d---s---- C:\Documents and Settings\LocalService\Favoris

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-15 22:11 359,040 ------w C:\WINDOWS\system32\drivers\tcpip.sys

2008-03-15 15:05 15,600 ----a-w C:\WINDOWS\gdrv.sys

2008-03-14 16:51 307,968 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe

2008-03-14 16:51 --------- d-----w C:\Documents and Settings\Aymane\Application Data\TuneUp Software

2008-03-14 16:50 --------- d-----w C:\Program Files\TuneUp Utilities 2008

2008-03-14 16:50 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-03-14 16:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software

2008-03-14 16:27 --------- d-----w C:\Documents and Settings\Aymane\Application Data\InstallShield

2008-03-14 16:08 --------- d-----w C:\Program Files\Free

2008-03-14 15:52 558,142 ----a-w C:\WINDOWS\java\Packages\NXB3ZRBF.ZIP

2008-03-14 15:52 155,995 ----a-w C:\WINDOWS\java\Packages\BH7NJF9Z.ZIP

2008-03-14 15:52 --------- d-----w C:\Program Files\microsoft frontpage

2008-03-14 15:50 --------- d-----w C:\Program Files\Services en ligne

2008-02-27 12:15 28,416 ----a-w C:\WINDOWS\system32\uxtuneup.dll

2008-02-26 15:01 4,737,024 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys

2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys

2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll

2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll

2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll

2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll

2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll

2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll

2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll

2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe

2008-02-21 02:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll

2008-02-19 14:34 16,858,112 ----a-w C:\WINDOWS\RTHDCPL.exe

2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll

.

 

------- Sigcheck -------

 

2002-08-30 13:00 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys

2008-03-15 23:11 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((( snapshot@2008-03-26_14.08.08.37 )))))))))))))))))))))))))))))))))))))))))

.

+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

+ 2003-12-03 16:44:58 13,566 ------w C:\WINDOWS\system32\drivers\cdrbsvsd.sys

+ 2001-11-05 08:23:14 6,097 ----a-w C:\WINDOWS\system32\drivers\sonyhcb.sys

+ 2001-11-05 08:23:20 38,739 ----a-w C:\WINDOWS\system32\drivers\sonyhcc.sys

+ 2001-07-03 19:39:00 3,654 ----a-w C:\WINDOWS\system32\drivers\Sonyhcp.dll

+ 2001-11-05 08:23:52 299,923 ----a-w C:\WINDOWS\system32\drivers\sonyhcs.sys

+ 2002-10-15 21:41:06 102,220 ----a-w C:\WINDOWS\system32\drivers\sonypvs1.sys

+ 2001-03-24 01:15:56 25,600 ------w C:\WINDOWS\system32\lfavi12n.dll

+ 2001-03-24 01:22:10 314,880 ------w C:\WINDOWS\system32\LFCMP12n.DLL

+ 2001-03-24 01:15:48 78,336 ------w C:\WINDOWS\system32\LFFAX12n.DLL

+ 2001-03-24 01:17:32 43,008 ------w C:\WINDOWS\system32\lfgif12n.dll

+ 2001-03-24 01:18:30 121,856 ------w C:\WINDOWS\system32\lfmpg12n.dll

+ 2001-03-24 01:19:22 155,648 ------w C:\WINDOWS\system32\LFTIF12n.DLL

+ 2001-03-24 01:13:20 278,528 ------w C:\WINDOWS\system32\LTDIS12n.DLL

+ 2001-03-20 20:54:40 227,840 ------w C:\WINDOWS\system32\LTEFX12n.DLL

+ 2001-03-24 01:13:36 122,368 ------w C:\WINDOWS\system32\LTFIL12n.DLL

+ 2001-03-24 01:14:12 166,400 ------w C:\WINDOWS\system32\LTIMG12n.DLL

+ 2001-03-24 01:13:14 406,528 ------w C:\WINDOWS\system32\LTKRN12n.DLL

+ 2001-03-20 20:55:00 41,472 ------w C:\WINDOWS\system32\LTTWN12n.DLL

+ 2001-03-24 01:21:18 854,528 ------w C:\WINDOWS\system32\Ltwvc12n.dll

+ 2001-07-03 19:33:00 53,248 ----a-w C:\WINDOWS\system32\SONYHCY.DLL

+ 1998-06-17 23:00:00 89,360 ----a-w C:\WINDOWS\system32\VB5DB.DLL

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"ares"="C:\Program Files\Ares\Ares.exe" [ ]

"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2007-12-15 11:02 482760]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

"kqwlrdxx"="C:\WINDOWS\system32\elqzkhyf.exe" [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 01:41 8523776]

"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-03-16 10:25 579072]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 01:41 81920]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-15 11:07 219136]

"nvcoi"="C:\Program Files\nvcoi\nvcoi.exe" [ ]

"JavaCore"="C:\Program Files\\JavaCore\\JavaCore.exe" [ ]

"NoDNS"="C:\Program Files\\NoDNS\\NoDNS.exe" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Picture Package Menu.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe [2008-03-27 18:56:25 151552]

Picture Package VCD Maker.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2008-03-27 18:56:23 106496]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="logonui.exe"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

S2 SAMS;Scanning Analist Management System;C:\WINDOWS\System32\sams.exe []

S2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-19 16:10]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt []

S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 16:23]

S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-03-15 16:05]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-14 17:51]

S3 USBCamera;DigitalCam Pro Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk536.sys [2003-05-14 17:28]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\Kit.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-28 11:00:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-28 12:35:24

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

.

Temps d'accomplissement: 2008-03-28 12:35:54

ComboFix-quarantined-files.txt 2008-03-28 11:35:46

ComboFix2.txt 2008-03-27 11:54:03

ComboFix3.txt 2008-03-26 13:08:20

Pre-Run: 59,898,740,736 octets libres

Post-Run: 59,887,386,624 octets libres

 

 

 

Et pour Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:37:13, on 28/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Aymane\Bureau\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [kqwlrdxx] C:\WINDOWS\system32\elqzkhyf.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [NoDNS] C:\Program Files\\NoDNS\\NoDNS.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1205517410515

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 5471 bytes

[pear]

C'est mieux mais je ne suis pas satisfait.

 

Dans Hijackthis, cochez ces lignes qui m'intriguent, puis fix checked

 

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [kqwlrdxx] C:\WINDOWS\system32\elqzkhyf.exe

 

Supprimez ceci ,s'il existe: C:\Program Files\Ares

 

Copiez/collez dans le bloc notes.

Enregistrez sous sams.bat, sur le bureau

Et double clic pour le lancer.

 

@echo Suppression du Service

 

sc stop SAMS

sc delete SAMS

cd c:\

cd windows

cd system32

del /f /s /q C:\WINDOWS\System32\sams.exe

 

 

)Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

 

Lancez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Driver::

gdrv

SAMS

File::

C:\Program Files\nvcoi\nvcoi.exe

C:\Program Files\NoDNS\NoDNS.exe

C:\WINDOWS\system32\elqzkhyf.exe

C:\WINDOWS\gdrv.sys

C:\WINDOWS\System32\sams.exe

Folder::

C:\Program Files\nvcoi

C:\Program Files\NoDNS

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ares"=-

"kqwlrdxx"=-

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"nvcoi"=-

"NoDNS"=-

 

 

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

 

Enregistrez-le en lui donnant le nom CFScript.txt

 

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

 

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Postez le rapport, un nouvel Hijackthis et vos commentaires sur le comportement du Pc

Modifié le 28 mars 2008 par pear