Worm Netbooster

[Invité Nico]

oui, c'est propre

 

encore merci et bonne continuation

[ipl_001]

Bonjour Nico, chrifleur,

 

Un grand merci à chrifleur pour l'aide efficace apportée !

 

Nico, j'ai fait la modification du post #1 pour effacer ton identité comme tu me l'as demandé !

 

Bonne soirée à tous ! Nico, sois prudent ! applique les conseils de chrifleur !

[Invité mic]

bonsoir. je viens de lire ce topic et je m'aperçois que chrifleur a l'air de s'y connaitre assez bien, donc je voulais également vous demander de l'aide... Mon ordi a été infecté par ce même virus (trojan: blackbird). J'ai suivi les inidcations ci-dessus, j'ai effectué l'analyse combofix et celle de smitfraud fix. Je voulais ainsi vous demander d'analyser mes 2 logs si vous le voulez bien, et ensuite me guider pour régler ce probleme... J'attend votre réponse avec impatience pour régler l'étape du bloc note pour combofix et la citation a executer pour OTmoveit car j'ai exactement le même probleme que nico avec qq données qui changent dans les logs evidemment. merci d'avance

 

ComboFix 08-04-29.5 - DE WAHA J 2008-05-01 18:58:56.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1076 [GMT 2:00]

Endroit: C:\Documents and Settings\DE WAHA J\Bureau\Combo-Fix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\akl

C:\Program Files\akl\akl.dll

C:\Program Files\akl\akl.exe

C:\Program Files\akl\uninstall.exe

C:\Program Files\akl\unsetup.exe

C:\Program Files\Fichiers communs\WinSoftware

C:\Program Files\Inet Delivery

C:\Program Files\Inet Delivery\inetdl.exe

C:\Program Files\Inet Delivery\intdel.exe

C:\Program Files\MyWay

C:\Program Files\MyWay\myBar\History\search

C:\Program Files\MyWay\myBar\Settings\prevcfg.htm

C:\WINDOWS\a.bat

C:\WINDOWS\base64.tmp

C:\WINDOWS\bdn.com

C:\WINDOWS\FVProtect.exe

C:\WINDOWS\iTunesMusic.exe

C:\WINDOWS\mslagent

C:\WINDOWS\mslagent\2_mslagent.dll

C:\WINDOWS\mslagent\mslagent.exe

C:\WINDOWS\mslagent\uninstall.exe

C:\WINDOWS\mssecu.exe

C:\WINDOWS\smdat32a.sys

C:\WINDOWS\smdat32m.sys

C:\WINDOWS\system32\bsva-egihsg52.exe

C:\WINDOWS\system32\emesx.dll

C:\WINDOWS\system32\smp

C:\WINDOWS\system32\smp\msrc.exe

C:\WINDOWS\userconfig9x.dll

C:\WINDOWS\Web\def.htm

C:\WINDOWS\winsystem.exe

C:\WINDOWS\zip1.tmp

C:\WINDOWS\zip2.tmp

C:\WINDOWS\zip3.tmp

C:\WINDOWS\zipped.tmp

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-01 to 2008-05-01 ))))))))))))))))))))))))))))))))))))

.

 

2008-05-01 18:14 . 2008-05-01 18:14 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\pkzovqtg

2008-05-01 18:14 . 2008-05-01 18:14 110,592 --a------ C:\WINDOWS\system32\hmtehupc.exe

2008-04-07 17:47 . 2008-05-01 16:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-04-07 17:47 . 2008-04-07 17:47 1,409 --a------ C:\WINDOWS\QTFont.for

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-21 07:48 --------- dc----w C:\Documents and Settings\DE WAHA J\Application Data\Image Zone Express

2008-04-05 11:52 --------- d-----w C:\Program Files\Avast4

2008-04-01 18:56 --------- d-----w C:\Program Files\MSN Messenger

2008-04-01 18:56 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-03-25 14:15 --------- d-----w C:\Program Files\QuickTime

2008-03-25 14:14 --------- dc----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-03-22 14:29 --------- d-----w C:\Program Files\Java

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-19 19:54 25,992 ----a-w C:\WINDOWS\system32\pgdfgsvc.exe

2008-03-15 13:44 --------- dc----w C:\Documents and Settings\DE WAHA J\Application Data\Apple Computer

2008-03-15 13:42 --------- dc----w C:\Documents and Settings\All Users\Application Data\Apple

2008-03-15 13:42 --------- d-----w C:\Program Files\Apple Software Update

2008-03-03 22:47 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-03-03 22:47 --------- dc----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-03-03 22:47 --------- d-----w C:\Program Files\Windows Live

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

"EzAgent"="C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe" [2003-03-19 21:35 122880]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 19:54 68856]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

"rnzlqjza"="C:\WINDOWS\system32\hmtehupc.exe" [2008-05-01 18:14 110592]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-20 01:10 380928 C:\WINDOWS\system32\irprops.cpl]

"CARPService"="carpserv.exe" [2003-03-19 01:13 4608 C:\WINDOWS\system32\carpserv.exe]

"zBrowser Launcher"="C:\Program Files\iTouch\iTouch.exe" [2004-03-18 09:33 892928]

"IW ControlCenter"="C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [2003-03-12 11:56 836096]

"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-05 09:55 393728]

"OEM-Reset"="" []

"Ulead Memory Card Detector"="C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" [2002-09-11 15:00 40960]

"Lexmark X84-X85 Button Monitor"="C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe" [ ]

"Lexmark X84-X85 Button Manager"="C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe" [ ]

"PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [ ]

"Control Center"="C:\Program Files\ASUS\WLAN Card Utilities\Center.exe" [2004-11-04 19:36 1569280]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-06-27 15:56 180269]

"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 16:37 286720]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]

"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]

"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 18:12 131072]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"mASrLK05f1"= C:\Documents and Settings\All Users\Application Data\pkzovqtg\valqnqdc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

"VIDC.PIM1"= pclepim1.dll

"vidc.asv2"= asusasv2.dll

"VIDC.JPEG"= jpegCode.dll

"VIDC.MJPG"= jpegCode.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]

--a------ 2002-10-01 16:57 94208 C:\Program Files\CyberLink\PowerVCRII\Agent.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Belgacom]

--a------ 2006-06-22 11:34 192512 C:\Program Files\Belgacom\bin\sprtcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]

--a------ 2006-08-14 02:07 102400 C:\Program Files\Roxio\Media Experience\DMXLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-02-01 00:13 385024 C:\Program Files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote_Agent]

--a------ 2002-10-01 19:01 32768 C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]

--a------ 2006-08-10 13:10 221184 C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

C:\Program Files\Skype\Phone\Skype.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=

"C:\\Program Files\\Internet Explorer\\iexplore.exe"=

"C:\\Program Files\\eMule\\eMule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"C:\\Program Files\\Fichiers communs\\Roxio Shared\\9.0\\SharedCOM\\RoxWatchTray9.exe"=

"C:\\WINDOWS\\system32\\dpnsvr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Documents and Settings\\DE WAHA J\\Mes documents\\travaux ecole mica\\Ordi\\Pro Evolution Soccer 6 Rip\\Pro Evolution Soccer 6 Rip\\pes6.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]

R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2003-04-10 12:12]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 09:11]

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54]

R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-03-20 11:31]

R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2002-12-13 18:33]

R3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 17:12]

S3 AIPTEK;DV3300 Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys [2002-10-09 15:24]

S3 DV3300Usb;DV3300 Digital Camera on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys [2002-10-08 11:55]

S3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-04-07 23:29]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c7bd612-c925-11dc-9802-00112fec0fd7}]

\Shell\AutoRun\command - I:\AutoTransfer.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78fca69d-abc7-11dc-97c4-00112fec0fd7}]

\Shell\AutoRun\command - I:\LaunchU3.exe -a

 

*Newly Created Service* - CATCHME

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-25 14:01:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-03-12 20:43:55 C:\WINDOWS\Tasks\Vider le dossier prefetch automatiquement.job"

- C:\WINDOWS\prefetchnet.bat

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-01 19:07:15

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

 

**************************************************************************

.

Temps d'accomplissement: 2008-05-01 19:11:29

ComboFix-quarantined-files.txt 2008-05-01 17:10:25

 

Pre-Run: 45,829,513,216 octets libres

Post-Run: 50,629,730,304 octets libres

 

195 --- E O F --- 2008-04-15 22:31:23

 

 

SmitFraudFix v2.319

 

Rapport fait à 22:38:34,35, jeu. 01/05/2008

Executé à partir de C:\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Documents and Settings\All Users\Application Data\pkzovqtg\valqnqdc.exe

C:\WINDOWS\system32\carpserv.exe

C:\Program Files\iTouch\iTouch.exe

C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Program Files\ASUS\WLAN Card Utilities\Center.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\hmtehupc.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DE WAHA J

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DE WAHA J\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DEWAHA~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: ASUS USB Wireless Network Adapter #6 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

Description: ASUS USB Wireless Network Adapter #6 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

Description: ASUS USB Wireless Network Adapter #6 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

Description: ASUS USB Wireless Network Adapter #6 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{06B8D5C1-825E-4DDC-888F-124420AAF550}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7EFB6DF-351E-400D-867F-B555B1F6FD51}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F53A5AD8-68A0-4AF2-9A71-B14B2050E17F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FD1E39B1-7A35-4D1F-A56D-AFFAA1055B6A}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{06B8D5C1-825E-4DDC-888F-124420AAF550}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7EFB6DF-351E-400D-867F-B555B1F6FD51}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F53A5AD8-68A0-4AF2-9A71-B14B2050E17F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{FD1E39B1-7A35-4D1F-A56D-AFFAA1055B6A}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{06B8D5C1-825E-4DDC-888F-124420AAF550}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{C7EFB6DF-351E-400D-867F-B555B1F6FD51}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F53A5AD8-68A0-4AF2-9A71-B14B2050E17F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[chrifleur]

bonjour

j'étais absente hier, et serai peu présente ce matin..

je regarde tes rapports, réponse dans l'après midi, si tu n'as pas été dépanné auparavant...

ajoute à ces rapports un rapport Hijack This

rapport Hijack This stp

[Invité mica]

Merci qd meme, voici le log de hijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:39:35, on 2/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Documents and Settings\All Users\Application Data\pkzovqtg\valqnqdc.exe

C:\WINDOWS\system32\carpserv.exe

C:\Program Files\iTouch\iTouch.exe

C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Program Files\ASUS\WLAN Card Utilities\Center.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://be.msn.com/defaultf.aspx

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\iTouch\iTouch.exe

O4 - HKLM\..\Run: [iW ControlCenter] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EzAgent] C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9

O4 - HKLM\..\Policies\Explorer\Run: [mASrLK05f1] C:\Documents and Settings\All Users\Application Data\pkzovqtg\valqnqdc.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownlo...iaSmartScan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Fichiers communs\Sonic Shared\RoxioUPnPRenderer9.exe

O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Fichiers communs\Sonic Shared\RoxioUpnpService9.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

 

--

End of file - 9833 bytes

[Invité mica]

Ah oui je voulais juste dire que je ne serais pas là cet après-midi, mais je regarderai votre analyse dès demain matin vers 11h-11h30...

 

Merci d'avance

[chrifleur]

Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.

 

Cliquer sur Outils > Options des dossiers > Affichage.

 

Sélectionner :

 

Cocher : Afficher les fichiers et dossiers cachés.

 

Décocher : Masquer les extensions des fichiers dont le type est connu.

 

Décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)

 

Cliquer sur Appliquer et Ok

 

Cliquer sur ce lien

 

http://www.virustotal.com/

 

Et tester ceci: C:\WINDOWS\system32\hmtehupc.exe

 

Cliquer sur Parcourir et indiquer le chemin du ou des fichier(s) que j’ai désigné(s).

 

Cliquer sur Send File

 

Au message Sending File, ne pas fermer cette fenêtre.

 

Patienter, au bout de quelques minutes, vous aurez dans l'encadré: Current status: finishedeued waiting scanning

 

Faire un copier/coller du résultat et postez-le dans votre prochain message.

 

recommence avec

 

C:\Documents and Settings\All Users\Application Data\pkzovqtg\valqnqdc.exe

 

Recacher les fichiers dossiers

 

Décocher : Afficher les fichiers et dossiers cachés.

 

Recocher : Masquer les extensions des fichiers dont le type est connu.

 

Cocher : Masquer les fichiers protégés du système d'exploitation (recommandé)

 

Cliquer sur Appliquer et Ok

Modifié le 2 mai 2008 par chrifleur

[Invité Invité]

Merci, mais en fait j'ai cherché jusqu'à 2h du matin sur l'ordi et j'avais repérer ces 2 fichiers et j'ai vérifier sur un site pour voir s'il s'agissait bien de 2 trojans. Dès lors je les ai unlocker hier avec OtMoveIt2... Je ne sais pas si j'ai bien fait ou non? J'ai également fait une recherche dans l'explorateur windows, et j'ai supprimé les fichier correspondant à ceux-ci (htmehupc et valqnqdc) avec OtMoveIt2 aussi. Donc il m'est impossible d'effectuer l'analyse avec http://www.virustotal.com/.

 

Si vous pouviez alors me dire si j'ai bien procédé ou non? Et s'il pourrait rester d'autres résidus ou trojan du à blackbird? Et si nécessaire que je vous envoi un autre log de Combofix ou...?

 

Je vous remercie encore et d'avance

[Invité mica]

Voila le nouveau compte rendu de Combo-Fix si besoin:

ComboFix 08-04-29.5 - DE WAHA J 2008-05-02 16:17:24.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1113 [GMT 2:00]

Endroit: C:\Documents and Settings\DE WAHA J\Bureau\Combo-Fix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-04-02 to 2008-05-02 ))))))))))))))))))))))))))))))))))))

.

 

2008-05-02 15:53 . 2008-05-02 16:16 63,488 --a--c--- C:\Analyse virus total.doc

2008-05-02 10:39 . 2008-05-02 10:39 <REP> d-------- C:\Program Files\Trend Micro

2008-05-02 10:38 . 2008-05-02 10:38 812,344 --a--c--- C:\hijackthis.exe

2008-05-01 23:35 . 2008-05-01 23:36 <REP> d-------- C:\Program Files\Unlocker

2008-05-01 22:38 . 2008-05-01 22:40 <REP> d----c--- C:\SmitfraudFix

2008-05-01 22:38 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-05-01 22:38 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-05-01 22:38 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-05-01 22:38 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-05-01 22:38 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe

2008-05-01 22:38 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-05-01 22:38 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-05-01 22:38 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-05-01 22:38 . 2008-05-01 22:40 4,254 --a------ C:\WINDOWS\system32\tmp.reg

2008-05-01 22:36 . 2008-05-01 22:36 291,840 --a--c--- C:\OTMoveIt2.exe

2008-05-01 22:35 . 2008-05-01 22:35 1,389,563 --a--c--- C:\SmitfraudFix.exe

2008-05-01 22:20 . 2008-05-02 15:56 2,148 --a------ C:\WINDOWS\system32\wpa.dbl

2008-05-01 21:35 . 2008-05-02 00:50 <REP> d----c--- C:\_OTMoveIt

2008-04-07 17:47 . 2008-05-01 16:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-04-07 17:47 . 2008-04-07 17:47 1,409 --a------ C:\WINDOWS\QTFont.for

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-21 07:48 --------- dc----w C:\Documents and Settings\DE WAHA J\Application Data\Image Zone Express

2008-04-05 11:52 --------- d-----w C:\Program Files\Avast4

2008-04-01 18:56 --------- d-----w C:\Program Files\MSN Messenger

2008-04-01 18:56 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-03-25 14:15 --------- d-----w C:\Program Files\QuickTime

2008-03-25 14:14 --------- dc----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-03-22 14:29 --------- d-----w C:\Program Files\Java

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-19 19:54 25,992 ----a-w C:\WINDOWS\system32\pgdfgsvc.exe

2008-03-15 13:44 --------- dc----w C:\Documents and Settings\DE WAHA J\Application Data\Apple Computer

2008-03-15 13:42 --------- dc----w C:\Documents and Settings\All Users\Application Data\Apple

2008-03-15 13:42 --------- d-----w C:\Program Files\Apple Software Update

2008-03-03 22:47 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-03-03 22:47 --------- dc----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-03-03 22:47 --------- d-----w C:\Program Files\Windows Live

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-05-01_19.10.10,68 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-05-01 16:41:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-02 13:55:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-02 13:55:44 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5c0.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

"EzAgent"="C:\Program Files\ASUS\ASUS FM Radio\ezagent.exe" [2003-03-19 21:35 122880]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 19:54 68856]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BluetoothAuthenticationAgent"="irprops.cpl" [2004-08-20 01:10 380928 C:\WINDOWS\system32\irprops.cpl]

"CARPService"="carpserv.exe" [2003-03-19 01:13 4608 C:\WINDOWS\system32\carpserv.exe]

"zBrowser Launcher"="C:\Program Files\iTouch\iTouch.exe" [2004-03-18 09:33 892928]

"IW ControlCenter"="C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [2003-03-12 11:56 836096]

"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-05 09:55 393728]

"OEM-Reset"="" []

"Ulead Memory Card Detector"="C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" [2002-09-11 15:00 40960]

"Lexmark X84-X85 Button Monitor"="C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe" [ ]

"Lexmark X84-X85 Button Manager"="C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe" [ ]

"PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [ ]

"Control Center"="C:\Program Files\ASUS\WLAN Card Utilities\Center.exe" [2004-11-04 19:36 1569280]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-06-27 15:56 180269]

"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 16:37 286720]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]

"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]

"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 18:12 131072]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"mASrLK05f1"= C:\Documents and Settings\All Users\Application Data\pkzovqtg\valqnqdc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

"VIDC.PIM1"= pclepim1.dll

"vidc.asv2"= asusasv2.dll

"VIDC.JPEG"= jpegCode.dll

"VIDC.MJPG"= jpegCode.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent]

--a------ 2002-10-01 16:57 94208 C:\Program Files\CyberLink\PowerVCRII\Agent.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Belgacom]

--a------ 2006-06-22 11:34 192512 C:\Program Files\Belgacom\bin\sprtcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]

--a------ 2006-08-14 02:07 102400 C:\Program Files\Roxio\Media Experience\DMXLauncher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-02-01 00:13 385024 C:\Program Files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote_Agent]

--a------ 2002-10-01 19:01 32768 C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rnzlqjza]

C:\WINDOWS\system32\hmtehupc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]

--a------ 2006-08-10 13:10 221184 C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

C:\Program Files\Skype\Phone\Skype.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=

"C:\\Program Files\\Internet Explorer\\iexplore.exe"=

"C:\\Program Files\\eMule\\eMule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"C:\\Program Files\\Fichiers communs\\Roxio Shared\\9.0\\SharedCOM\\RoxWatchTray9.exe"=

"C:\\WINDOWS\\system32\\dpnsvr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Documents and Settings\\DE WAHA J\\Mes documents\\travaux ecole mica\\Ordi\\Pro Evolution Soccer 6 Rip\\Pro Evolution Soccer 6 Rip\\pes6.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]

R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2003-04-10 12:12]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 09:11]

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54]

R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-03-20 11:31]

R3 cdrdrv;Cdrdrv;C:\WINDOWS\system32\Drivers\Cdrdrv.sys [2002-12-13 18:33]

R3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 17:12]

S3 AIPTEK;DV3300 Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys [2002-10-09 15:24]

S3 DV3300Usb;DV3300 Digital Camera on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys [2002-10-08 11:55]

S3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-04-07 23:29]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c7bd612-c925-11dc-9802-00112fec0fd7}]

\Shell\AutoRun\command - I:\AutoTransfer.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78fca69d-abc7-11dc-97c4-00112fec0fd7}]

\Shell\AutoRun\command - I:\LaunchU3.exe -a

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-25 14:01:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-03-12 20:43:55 C:\WINDOWS\Tasks\Vider le dossier prefetch automatiquement.job"

- C:\WINDOWS\prefetchnet.bat

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-02 16:21:56

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

 

**************************************************************************

.

Temps d'accomplissement: 2008-05-02 16:26:30

ComboFix-quarantined-files.txt 2008-05-02 14:25:23

ComboFix.txt 2008-05-01 17:11:30

ComboFix2.txt 2008-05-01 17:11:30

 

Pre-Run: 50,567,553,024 octets libres

Post-Run: 50,630,868,992 octets libres

 

180 --- E O F --- 2008-04-15 22:31:23

[chrifleur]

cela me semble plutôt pas mal

si tu as supprimé les fichiers et le dossier correspondant

C:\Documents and Settings\All Users\Application Data\pkzovqtg

lance Hijack This et coche ces lignes si présentes

O4 - HKLM\..\Policies\Explorer\Run: [mASrLK05f1] C:\Documents and Settings\All Users\Application Data\pkzovqtg\valqnqdc.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

ferme toutes tes applications, coupe toi d'Internet et clique sur Fix Checked

suis ce tutoriel et scanne ton PC en mode dans échec

 

poste le rapport obtenu