éliminer un rootkit ...

[Candy13]

Bonjour à tous,

 

Après m'être connectée à un MMORPG, je me retrouve avec un message d'Avast qui me dit quand je tente de lancer MapleStory (autre MMORPG), que je suis infectée par Win32:rootkit-gen [Rtk].

 

J'ai essayé de le supprimer, de le mettre en quarantaine, aucun effet.

 

Après une recherche avec google, je suis tombée sur une demande similaire sur ce forum :

http://forum.zebulon.fr/eliminer-un-cheval...ie-t142345.html .

 

J'ai tenté de suivre les instructions de Falkra. Mais cela n'a pas résolu mon problème qui semble être différent .

 

Voici le rapport de SDfix :

SDFix: Version 1.171

Run by Administrateur on 14/04/2008 at 13:59

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\PROGRA~1\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-14 14:16:22

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"G:\\Jeux\\Sam\\World of Warcraft\\Repair.exe"="G:\\Jeux\\Sam\\World of Warcraft\\Repair.exe:*:Enabled:Blizzard Repair Utility"

"G:\\Program files\\eMule\\emule.exe"="G:\\Program files\\eMule\\emule.exe:*:Enabled:eMule"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\PROGRA~1\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

 

Finished!

 

 

Et le log hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:13:40, on 14/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Look and Stop\looknstop.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows

 

Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet

 

Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class -

 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

 

Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection -

 

{53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot -

 

Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no

 

file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live

 

- {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers

 

communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} -

 

C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

 

C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3}

 

- C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [NeroFilterCheck]

 

C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

 

Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Look and

 

Stop\looknstop.exe" -auto

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

 

C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

 

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil

 

Software\Avast4\ashDisp.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot -

 

Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus!

 

3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows

 

Live\Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: Tout télécharger avec FlashGet -

 

C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Télécharger avec FlashGet -

 

C:\PROGRA~1\FlashGet\jc_link.htm

O9 - Extra button: (no name) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}

 

- C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet -

 

{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -

 

C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: (no name) -

 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot -

 

Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy

 

Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program

 

Files\Spybot - Search & Destroy\SDHelper.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft -

 

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL

 

Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program

 

Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program

 

Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program

 

Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

 

Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 5153 bytes

 

Voilà ... Merci d'avance pour votre aide....

[pear]

Bonjour,

 

Désactivez les protections.

Télécharger DiagHelp.zip de Malekal_morte sur le bureau.

http://www.malekal.com/download/DiagHelp.zip

ou là:

http://sosvirus.changelog.fr/diaghelp.zip

* Décompressez le, sur le bureau par exemple.

* Un nouveau dossier chercher va être créé DiagHelp.

* Ouvrez le et double-cliquez sur go.cmd (le .cmd peut ne pas apparaître)

* Une fenêtre va s'ouvrir, choisir l'option 1

* L'analyse va commencer, ceci peut durer quelques minutes,

appuyez sur une touche quand on le demande

* Copier/coller le contenu entier du bloc-note qui s'ouvre et le joindre à la prochaine réponse.

Sinon, il est là:C:\resultats.txt

 

[La détection par Antivir de "TR/inject.MF"

est en fait catchme ,un composant de diaghelp :c'est donc un faux positif./color]

[Candy13]

voici donc le rapport de DiagHelp :

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 14/04/2008 à 18:32:59,78

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->14/04/2008 18:32:50

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->14/04/2008 18:32:48

C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->14/04/2008 18:32:26

C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->14/04/2008 18:32:03

C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->14/04/2008 18:28:28

C:\WINDOWS\prefetch\AVAST.SETUP-032170A8.pf -->14/04/2008 18:28:14

C:\WINDOWS\prefetch\RUNDLL32.EXE-2E5AF1D7.pf -->14/04/2008 18:28:12

C:\WINDOWS\prefetch\ASHWEBSV.EXE-0548EF0A.pf -->14/04/2008 17:49:13

C:\WINDOWS\prefetch\ASHMAISV.EXE-12E27032.pf -->14/04/2008 17:49:12

C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->14/04/2008 17:49:02

 

C:\WINDOWS\System32\drivers\EagleNt.sys -->14/04/2008 09:21:06

C:\WINDOWS\System32\drivers\lnsfw1.sys -->09/04/2008 09:38:52

C:\WINDOWS\System32\drivers\lnsfw.sys -->09/04/2008 09:38:52

C:\WINDOWS\System32\drivers\aswFsBlk.sys -->29/03/2008 19:35:49

C:\WINDOWS\System32\drivers\aswmon2.sys -->29/03/2008 19:35:21

C:\WINDOWS\System32\drivers\aswSP.sys -->29/03/2008 19:31:34

C:\WINDOWS\System32\drivers\aswRdr.sys -->29/03/2008 19:29:08

 

C:\WINDOWS\System32\FNTCACHE.DAT -->14/04/2008 11:47:03

C:\WINDOWS\System32\wpa.dbl -->11/04/2008 18:00:18

C:\WINDOWS\System32\fwapi.dll -->09/04/2008 09:38:52

C:\WINDOWS\System32\MRT.exe -->06/04/2008 07:56:20

C:\WINDOWS\System32\LoopyMusic.wav -->02/04/2008 12:53:53

C:\WINDOWS\System32\BuzzingBee.wav -->02/04/2008 12:53:53

C:\WINDOWS\System32\PerfStringBackup.INI -->02/04/2008 10:25:13

C:\WINDOWS\System32\perfh00C.dat -->02/04/2008 10:25:13

C:\WINDOWS\System32\perfh009.dat -->02/04/2008 10:25:13

C:\WINDOWS\System32\perfc00C.dat -->02/04/2008 10:25:13

C:\WINDOWS\System32\perfc009.dat -->02/04/2008 10:25:13

C:\WINDOWS\System32\TZLog.log -->01/04/2008 23:42:32

C:\WINDOWS\System32\BASSMOD.dll -->01/04/2008 22:06:09

C:\WINDOWS\System32\CONFIG.NT -->31/03/2008 17:18:25

C:\WINDOWS\System32\nvapps.xml -->30/03/2008 17:33:34

C:\WINDOWS\System32\h323log.txt -->30/03/2008 16:39:54

C:\WINDOWS\System32\$winnt$.inf -->30/03/2008 14:48:08

C:\WINDOWS\System32\nscompat.tlb -->30/03/2008 14:45:14

C:\WINDOWS\System32\amcompat.tlb -->30/03/2008 14:45:14

C:\WINDOWS\System32\WindowsLogon.manifest -->30/03/2008 14:44:14

C:\WINDOWS\System32\logonui.exe.manifest -->30/03/2008 14:44:14

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->30/03/2008 14:44:09

C:\WINDOWS\System32\sapi.cpl.manifest -->30/03/2008 14:44:09

C:\WINDOWS\System32\nwc.cpl.manifest -->30/03/2008 14:44:09

C:\WINDOWS\System32\ncpa.cpl.manifest -->30/03/2008 14:44:09

 

C:\WINDOWS\WindowsUpdate.log -->14/04/2008 18:30:51

C:\WINDOWS\wiaservc.log -->14/04/2008 15:34:48

C:\WINDOWS\wiadebug.log -->14/04/2008 15:34:47

C:\WINDOWS\Sti_Trace.log -->14/04/2008 15:34:47

C:\WINDOWS\0.log -->14/04/2008 14:14:32

C:\WINDOWS\bootstat.dat -->14/04/2008 14:14:15

C:\WINDOWS\ntbtlog.txt -->14/04/2008 13:58:52

C:\WINDOWS\SchedLgU.Txt -->14/04/2008 13:48:31

C:\WINDOWS\Lic.xxx -->14/04/2008 12:46:02

C:\WINDOWS\setupact.log -->14/04/2008 12:25:07

C:\WINDOWS\setuperr.log -->14/04/2008 11:57:22

C:\WINDOWS\NeroDigital.ini -->06/04/2008 12:39:22

C:\WINDOWS\War3Unin.dat -->04/04/2008 21:06:56

C:\WINDOWS\War3Unin.pif -->04/04/2008 20:58:42

C:\WINDOWS\War3Unin.exe -->04/04/2008 20:58:42

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1556

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x015e0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x50640000 0x9000 7.00.6000.0381 C:\WINDOWS\system32\wups.dll

0x10000000 0xc000 6.00.0001.1091 C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

0x01fe0000 0x185000 1.05.0000.0011 C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

0x014c0000 0x10000 1.01.0004.0000 C:\PROGRA~1\FlashGet\jccatch.dll

------------------------------------------------------------------------------

explorer.exe pid: 260

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x01310000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 968

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x01370000 0x3b000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

------------------------------------------------------------------------------

winlogon.exe pid: 2652

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x00ca0000 0x3b000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B43B-99D3

 

Répertoire de C:\WINDOWS\system32

 

04/08/2004 02:54 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 37 143 896 064 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B43B-99D3

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

12/04/2008 09:36 <REP> .

12/04/2008 09:36 <REP> ..

30/03/2008 14:44 65 desktop.ini

25/07/2002 17:13 24 576 dwusplay.dll

25/07/2002 17:13 196 608 dwusplay.exe

20/11/2007 16:04 1 523 536 FP_AX_CAB_INSTALLER.exe

11/08/2005 15:30 417 792 isusweb.dll

20/11/2007 15:50 247 swflash.inf

6 fichier(s) 2 162 824 octets

 

Total des fichiers listés :

6 fichier(s) 2 162 824 octets

2 Rép(s) 37 143 891 968 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"G:\\Jeux\\Sam\\World of Warcraft\\Repair.exe"="G:\\Jeux\\Sam\\World of Warcraft\\Repair.exe:*:Enabled:Blizzard Repair Utility"

"G:\\Program files\\eMule\\emule.exe"="G:\\Program files\\eMule\\emule.exe:*:Enabled:eMule"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-14 18:34:01

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

260 - explorer.exe

356 - spoolsv.exe

564 - nvsvc32.exe

940 - csrss.exe

968 - winlogon.exe

1012 - services.exe

1024 - lsass.exe

1208 - svchost.exe

1256 - svchost.exe

1280 - ashMaiSv.exe

1380 - svchost.exe

1464 - svchost.exe

1556 - explorer.exe

1580 - cmd.exe

1680 - svchost.exe

1748 - alg.exe

1816 - aawservice.exe

1932 - ashServ.exe

2428 - looknstop.exe

2436 - IEXPLORE.EXE

2580 - ashDisp.exe

2880 - ashWebSv.exe

2936 - looknstop.exe

3008 - ashDisp.exe

3080 - TeaTimer.exe

3252 - msnmsgr.exe

3640 - usnsvc.exe

3788 - csrss.exe

4016 - firefox.exe

 

Total number of processes = 30

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\ntkrnlpa.exe

806CE000 - \WINDOWS\system32\hal.dll

F7987000 - \WINDOWS\system32\KDCOM.DLL

F7897000 - \WINDOWS\system32\BOOTVID.dll

F735E000 - a347bus.sys

F7487000 - ohci1394.sys

F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F7497000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F732F000 - ACPI.sys

F731E000 - pci.sys

F74A7000 - isapnp.sys

F7A4F000 - pciide.sys

F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F74B7000 - MountMgr.sys

F72FF000 - ftdisk.sys

F798B000 - dmload.sys

F72D9000 - dmio.sys

F770F000 - PartMgr.sys

F74C7000 - VolSnap.sys

F72C1000 -

F72A9000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS

F7292000 - nvata.sys

F74D7000 - disk.sys

F74E7000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F7272000 - fltMgr.sys

F7260000 - sr.sys

F74F7000 - PxHelp20.sys

F7249000 - KSecDD.sys

F71BC000 - Ntfs.sys

F718F000 - NDIS.sys

F7174000 - Mup.sys

F75A7000 - \SystemRoot\system32\DRIVERS\processr.sys

F776F000 - \SystemRoot\system32\DRIVERS\usbohci.sys

F70F3000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F7777000 - \SystemRoot\system32\DRIVERS\usbehci.sys

F6D1B000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

F6CF7000 - \SystemRoot\system32\drivers\portcls.sys

F75B7000 - \SystemRoot\system32\drivers\drmk.sys

F6CD4000 - \SystemRoot\system32\drivers\ks.sys

F75C7000 - \SystemRoot\system32\DRIVERS\imapi.sys

F75D7000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F75E7000 - \SystemRoot\system32\DRIVERS\redbook.sys

F75F7000 - \SystemRoot\system32\DRIVERS\nic1394.sys

F793B000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys

F6C94000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS

F6C61000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS

F6549000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

F6535000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F777F000 - \SystemRoot\system32\DRIVERS\fdc.sys

F6524000 - \SystemRoot\system32\DRIVERS\serial.sys

F793F000 - \SystemRoot\system32\DRIVERS\serenum.sys

F64E8000 - \SystemRoot\system32\DRIVERS\parport.sys

F7BA5000 - \SystemRoot\system32\DRIVERS\audstub.sys

F7607000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

F7943000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

F64D1000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F7617000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F7627000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F7787000 - \SystemRoot\system32\DRIVERS\TDI.SYS

F64C0000 - \SystemRoot\system32\DRIVERS\psched.sys

F7637000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F778F000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F7797000 - \SystemRoot\system32\DRIVERS\raspti.sys

F648F000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F7647000 - \SystemRoot\system32\DRIVERS\termdd.sys

F779F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F77A7000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F7657000 - \SystemRoot\system32\DRIVERS\lnsfw.sys

F7997000 - \SystemRoot\system32\DRIVERS\swenum.sys

F63BB000 - \SystemRoot\system32\DRIVERS\update.sys

F7963000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F7667000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F7999000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F7677000 - \SystemRoot\System32\Drivers\NDProxy.SYS

F7697000 - \SystemRoot\system32\DRIVERS\NVENETFD.sys

F77AF000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F799D000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

F7B33000 - \SystemRoot\System32\Drivers\Null.SYS

F799F000 - \SystemRoot\System32\Drivers\Beep.SYS

F77BF000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

F77C7000 - \SystemRoot\System32\drivers\vga.sys

F79A1000 - \SystemRoot\System32\Drivers\mnmdd.SYS

F79A3000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F77CF000 - \SystemRoot\System32\Drivers\Msfs.SYS

F77D7000 - \SystemRoot\System32\Drivers\Npfs.SYS

F6520000 - \SystemRoot\system32\DRIVERS\rasacd.sys

F41B1000 - \SystemRoot\system32\DRIVERS\ipsec.sys

F4159000 - \SystemRoot\system32\DRIVERS\tcpip.sys

F4146000 - \SystemRoot\System32\Drivers\lnsfw1.SYS

F76D7000 - \SystemRoot\System32\Drivers\aswTdi.SYS

F411E000 - \SystemRoot\system32\DRIVERS\netbt.sys

F40FC000 - \SystemRoot\System32\drivers\afd.sys

F76E7000 - \SystemRoot\system32\DRIVERS\netbios.sys

F40A9000 - \SystemRoot\system32\DRIVERS\rdbss.sys

F4088000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F76F7000 - \SystemRoot\system32\DRIVERS\wanarp.sys

F6508000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F7527000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F3F79000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

F7537000 - \SystemRoot\System32\Drivers\Fips.SYS

F7547000 - \SystemRoot\system32\DRIVERS\arp1394.sys

F3F63000 - \SystemRoot\System32\Drivers\aswSP.SYS

F77E7000 - \SystemRoot\system32\DRIVERS\usbccgp.sys

F77EF000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

F63B3000 - \??\D:\Maple\npkcusb.sys

F63AF000 - \SystemRoot\system32\DRIVERS\kbdhid.sys

F7567000 - \SystemRoot\System32\Drivers\Cdfs.SYS

F3F4B000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F79A5000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F6397000 - \SystemRoot\System32\drivers\Dxapi.sys

F77F7000 - \SystemRoot\System32\watchdog.sys

BF9C3000 - \SystemRoot\System32\drivers\dxg.sys

F7B29000 - \SystemRoot\System32\drivers\dxgthk.sys

F7807000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys

F3BCE000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

F398C000 - \SystemRoot\System32\Drivers\aswMon2.SYS

F37D0000 - \SystemRoot\system32\DRIVERS\mrxdav.sys

F79E7000 - \SystemRoot\System32\Drivers\ParVdm.SYS

F7887000 - \??\D:\Maple\npkcrypt.sys

F368E000 - \SystemRoot\system32\DRIVERS\srv.sys

F3622000 - \SystemRoot\System32\Drivers\aswRdr.SYS

F3472000 - \SystemRoot\system32\DRIVERS\mouhid.sys

F3421000 - \SystemRoot\system32\drivers\wdmaud.sys

F3834000 - \SystemRoot\system32\drivers\sysaudio.sys

F7857000 - \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys

F3202000 - \SystemRoot\System32\Drivers\HTTP.sys

F2496000 - \SystemRoot\system32\drivers\kmixer.sys

BFF57000 - \SystemRoot\System32\TSDDD.dll

BF9D5000 - \SystemRoot\System32\nv4_disp.dll

F7B77000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 131

 

Liste des programmes installes

 

ACDSee 8

Ad-Aware 2007

Adobe Flash Player ActiveX

Adobe Flash Player Plugin

Adobe Reader 6.0.1 - Français

Archiveur WinRAR

Assistant de connexion Windows Live

avast! Antivirus

CCleaner (remove only)

Commande ECHO désactivée.

Correctif Windows XP - KB873339

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

FlashGet(JetCar)

Free - Kit de connexion

HijackThis 2.0.2

Java 2 Runtime Environment, SE v1.4.2_05

Look 'n' Stop 2.06

MapleStory

Messenger Plus! 3

Messenger Plus! Live

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923789)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933729)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB937894)

Mise à jour de sécurité pour Windows XP (KB938127)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour de sécurité pour Windows XP (KB941202)

Mise à jour de sécurité pour Windows XP (KB941568)

Mise à jour de sécurité pour Windows XP (KB941569)

Mise à jour de sécurité pour Windows XP (KB941644)

Mise à jour de sécurité pour Windows XP (KB941693)

Mise à jour de sécurité pour Windows XP (KB943055)

Mise à jour de sécurité pour Windows XP (KB943460)

Mise à jour de sécurité pour Windows XP (KB943485)

Mise à jour de sécurité pour Windows XP (KB944338)

Mise à jour de sécurité pour Windows XP (KB944533)

Mise à jour de sécurité pour Windows XP (KB944653)

Mise à jour de sécurité pour Windows XP (KB945553)

Mise à jour de sécurité pour Windows XP (KB946026)

Mise à jour de sécurité pour Windows XP (KB947864)

Mise à jour de sécurité pour Windows XP (KB948590)

Mise à jour de sécurité pour Windows XP (KB948881)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB938828)

Mise à jour pour Windows XP (KB942763)

Mozilla Firefox (2.0.0.13)

Nero 6 Ultra Edition

NVIDIA Drivers

Realtek AC'97 Audio

Spybot - Search & Destroy

Spybot - Search & Destroy 1.5.2.20

VideoLAN VLC media player 0.8.5

WebFldrs XP

Winamp (remove only)

Windows Genuine Advantage Notifications (KB905474)

Windows Installer 3.1 (KB893803)

Windows Live installer

Windows Live Messenger

Windows Media Format Runtime

WinISO 5.3

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B43B-99D3

 

Répertoire de C:\Program Files

 

14/04/2008 13:46 <REP> .

14/04/2008 13:46 <REP> ..

01/04/2008 22:04 <REP> ACD Systems

30/03/2008 14:52 <REP> Adobe

21/08/2004 13:24 <REP> Ahead

30/03/2008 14:54 <REP> Alcohol Soft

30/03/2008 18:39 <REP> Alwil Software

30/03/2008 16:28 <REP> AvRack

14/04/2008 11:53 <REP> CCleaner

02/04/2008 21:08 <REP> Common Files

30/03/2008 14:41 <REP> ComPlus Applications

30/03/2008 17:58 <REP> Direct X

05/04/2008 18:08 <REP> Fichiers communs

30/03/2008 14:52 <REP> FlashGet

30/03/2008 17:08 <REP> Free.fr

14/04/2008 10:37 <REP> Internet Explorer

30/03/2008 14:54 <REP> Java

30/03/2008 17:28 <REP> Lavasoft

09/04/2008 09:38 <REP> Look and Stop

01/04/2008 19:38 <REP> Messenger Plus! Live

01/04/2008 19:35 <REP> MessengerPlus! 3

30/03/2008 14:45 <REP> microsoft frontpage

30/03/2008 14:45 <REP> movie maker

14/04/2008 14:49 <REP> Mozilla Firefox

30/03/2008 14:45 <REP> msn gaming zone

30/03/2008 14:43 <REP> NetMeeting

01/04/2008 23:43 <REP> Outlook Express

30/03/2008 16:28 <REP> Realtek AC97

30/03/2008 16:28 <REP> Realtek Sound Manager

14/04/2008 14:16 <REP> SDFix

30/03/2008 14:44 <REP> Services en ligne

30/03/2008 18:08 <REP> Spybot - Search & Destroy

14/04/2008 13:46 <REP> Trend Micro

04/04/2008 18:46 <REP> VideoLAN

30/03/2008 16:50 <REP> Winamp

30/03/2008 18:15 <REP> Windows Live

30/03/2008 19:42 <REP> Windows Media Player

30/03/2008 14:45 <REP> Windows NT

30/03/2008 14:54 <REP> WinISO

30/03/2008 14:54 <REP> WinRAR

30/03/2008 14:45 <REP> xerox

0 fichier(s) 0 octets

41 Rép(s) 37 134 139 392 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B43B-99D3

 

Répertoire de C:\Program Files\fichiers communs

 

05/04/2008 18:08 <REP> .

05/04/2008 18:08 <REP> ..

01/04/2008 22:04 <REP> ACD Systems

05/04/2008 18:08 <REP> Adobe

30/03/2008 14:53 <REP> Ahead

02/04/2008 16:55 <REP> Blizzard Entertainment

12/04/2008 09:36 <REP> InstallShield

30/03/2008 14:54 <REP> Java

30/03/2008 14:56 <REP> Microsoft Shared

30/03/2008 14:43 <REP> MSSoap

30/03/2008 16:36 <REP> ODBC

30/03/2008 14:43 <REP> Services

30/03/2008 16:36 <REP> SpeechEngines

01/04/2008 23:43 <REP> System

30/03/2008 17:27 <REP> Wise Installation Wizard

0 fichier(s) 0 octets

15 Rép(s) 37 134 139 392 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B43B-99D3

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

30/03/2008 14:56 <REP> .

30/03/2008 14:56 <REP> ..

18/05/2001 15:57 561 209 MSONSEXT.DLL

03/06/1999 12:09 122 937 MSOWS409.DLL

07/03/2001 07:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 37 134 139 392 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B43B-99D3

 

Répertoire de C:\Program Files\common files

 

02/04/2008 21:08 <REP> .

02/04/2008 21:08 <REP> ..

02/04/2008 21:08 <REP> INCA Shared

0 fichier(s) 0 octets

3 Rép(s) 37 134 139 392 octets libres

 

 

 

 

c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{0A41BC21-EA0F-4B0B-BEA4-2997B80DB0D9}\ARPPRODUCTICON.exe

c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{0A41BC21-EA0F-4B0B-BEA4-2997B80DB0D9}\MapleStory.exe_48C8B29DBCDE4D5BBDA5A3EC87623C68.exe

c:\Documents and Settings\Administrateur\Application Data\Microsoft\Installer\{0A41BC21-EA0F-4B0B-BEA4-2997B80DB0D9}\MapleStory.exe1_48C8B29DBCDE4D5BBDA5A3EC87623C68.exe

c:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

c:\Documents and Settings\Administrateur\Bureau\install_flash_player.exe

c:\Documents and Settings\Administrateur\Bureau\Installation_LooknStop_206.exe

c:\Documents and Settings\Administrateur\Bureau\spybotsd152.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi.tar.gz a l'adresse http://upload.malekal.com

 

Merci

[pear]

Bonsoir,

 

Puisque vous avez combofix, postez en le rapport , svp.

[Candy13]

ce fut laborieux ... un problème entre mes comptes d'utilisateurs. j'ai voulu suivre les conseils de Malekal et créé un compte utilisateur pour surfer avec moins de risques. Cela m'a créé un nouveau compte d'administrateur et j'ai eu toutes les peines à retrouver le "bon". Mais ceci est une autre histoire. Par compte, spybot m'a signalé un tas de changements dans ? la base de registre ? j'ai tout accepté parce que j'étais bloquée. et j'espère que cela n'est pas du au rootkit mais à mes mauvaises manip

 

Le ComboFix donc :

 

ComboFix 08-04-13.3 - Administrateur 2008-04-14 20:38:48.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.676 [GMT 2:00]

Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-03-14 to 2008-04-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-14 20:03 . 2008-04-14 20:24 <REP> d-------- C:\Documents and Settings\Sam\Contacts

2008-04-14 19:58 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Sam\Voisinage réseau

2008-04-14 19:58 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Sam\Voisinage d'impression

2008-04-14 19:58 . 2008-03-30 14:41 <REP> d-------- C:\Documents and Settings\Sam\Modèles

2008-04-14 19:58 . 2008-04-14 20:25 <REP> dr------- C:\Documents and Settings\Sam\Mes documents

2008-04-14 19:58 . 2008-03-30 16:35 <REP> dr------- C:\Documents and Settings\Sam\Menu Démarrer

2008-04-14 19:58 . 2008-04-14 19:59 <REP> dr------- C:\Documents and Settings\Sam\Favoris

2008-04-14 19:58 . 2008-03-30 16:35 <REP> d-------- C:\Documents and Settings\Sam\Bureau

2008-04-14 19:58 . 2008-04-14 20:27 <REP> d-------- C:\Documents and Settings\Sam

2008-04-14 18:34 . 2008-04-14 18:34 9,542,403 --a------ C:\upload_moi_TITANIUM.tar.gz

2008-04-14 15:36 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Candy\Voisinage réseau

2008-04-14 15:36 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Candy\Voisinage d'impression

2008-04-14 15:36 . 2008-03-30 14:41 <REP> d-------- C:\Documents and Settings\Candy\Modèles

2008-04-14 15:36 . 2008-04-14 15:37 <REP> dr------- C:\Documents and Settings\Candy\Mes documents

2008-04-14 15:36 . 2008-03-30 16:35 <REP> dr------- C:\Documents and Settings\Candy\Menu Démarrer

2008-04-14 15:36 . 2008-04-14 15:37 <REP> dr------- C:\Documents and Settings\Candy\Favoris

2008-04-14 15:36 . 2008-03-30 16:35 <REP> d-------- C:\Documents and Settings\Candy\Bureau

2008-04-14 15:36 . 2008-04-14 15:36 <REP> d-------- C:\Documents and Settings\Candy

2008-04-14 13:46 . 2008-04-14 13:46 <REP> d-------- C:\Program Files\Trend Micro

2008-04-14 13:44 . 2008-04-14 14:16 <REP> d-------- C:\Program Files\SDFix

2008-04-14 13:34 . 2008-04-14 13:34 0 --a------ C:\23990098.$$$

2008-04-14 12:47 . 2008-04-14 12:47 <REP> d-a------ C:\WINDOWS\zts2.exe

2008-04-14 12:47 . 2008-04-14 12:47 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll

2008-04-14 12:47 . 2008-04-14 12:47 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll

2008-04-14 12:47 . 2008-04-14 12:47 <REP> d-a------ C:\WINDOWS\rundll16.exe

2008-04-14 12:47 . 2008-04-14 12:47 <REP> d-a------ C:\WINDOWS\rundl132.dll

2008-04-14 12:47 . 2008-04-14 12:47 <REP> d-a------ C:\WINDOWS\logo1_.exe

2008-04-14 12:46 . 2008-04-14 12:46 26 --a------ C:\WINDOWS\Lic.xxx

2008-04-14 12:45 . 2004-08-04 02:55 153,088 --a------ C:\WINDOWS\R.COM

2008-04-14 12:45 . 2004-08-04 02:55 143,360 --a------ C:\WINDOWS\system32\T.COM

2008-04-14 12:04 . 2008-04-14 12:05 <REP> d-------- C:\WINDOWS\ERUNT

2008-04-14 12:04 . 2008-04-14 12:11 <REP> d-------- C:\SDFix

2008-04-14 12:02 . 2008-04-14 12:03 <REP> d-------- C:\Kaspersky

2008-04-14 11:53 . 2008-04-14 11:53 <REP> d-------- C:\Program Files\CCleaner

2008-04-14 09:21 . 2008-04-14 09:21 399,616 --a------ C:\WINDOWS\system32\drivers\EagleNt.sys

2008-04-12 09:40 . 2008-04-12 09:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield

2008-04-09 09:38 . 2008-04-09 09:38 77,184 --a------ C:\WINDOWS\system32\drivers\lnsfw1.sys

2008-04-09 09:38 . 2008-04-09 09:38 45,824 --a------ C:\WINDOWS\system32\drivers\lnsfw.sys

2008-04-09 09:38 . 2008-04-09 09:38 36,924 --a------ C:\WINDOWS\system32\fwapi.dll

2008-04-05 18:09 . 2008-04-05 18:09 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM

2008-04-05 18:08 . 2008-04-05 18:08 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2008-04-04 20:25 . 2008-04-04 20:25 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc

2008-04-04 18:46 . 2008-04-04 18:46 <REP> d-------- C:\Program Files\VideoLAN

2008-04-03 18:58 . 2008-04-03 18:58 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Nexon

2008-04-02 21:08 . 2008-04-02 21:08 <REP> d-------- C:\Program Files\Common Files

2008-04-02 21:08 . 2003-07-20 20:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd

2008-04-02 21:08 . 2005-01-04 11:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys

2008-04-02 18:09 . 2008-04-04 20:58 139,264 --a------ C:\WINDOWS\War3Unin.exe

2008-04-02 18:09 . 2008-04-04 21:06 70,024 --a------ C:\WINDOWS\War3Unin.dat

2008-04-02 18:09 . 2008-04-04 20:58 2,829 --a------ C:\WINDOWS\War3Unin.pif

2008-04-02 16:59 . 2008-04-02 16:59 <REP> d-------- C:\Logs

2008-04-02 16:55 . 2008-04-02 16:55 <REP> d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment

2008-04-02 12:53 . 2008-04-02 12:53 <REP> d-------- C:\WINDOWS\system32\Lang

2008-04-02 12:53 . 2008-04-02 12:53 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-04-02 12:53 . 2008-04-02 12:53 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-04-02 12:53 . 2008-04-02 13:03 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER

2008-04-02 12:53 . 2008-04-02 12:53 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE

2008-04-02 11:17 . 2008-04-02 11:17 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\ACD Systems

2008-04-02 10:24 . 2008-04-02 10:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-04-01 22:04 . 2008-04-01 22:04 <REP> d-------- C:\Program Files\Fichiers communs\ACD Systems

2008-04-01 22:04 . 2008-04-01 22:04 <REP> d-------- C:\Program Files\ACD Systems

2008-04-01 22:04 . 2008-04-01 22:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ACD Systems

2008-04-01 22:03 . 2008-04-01 22:03 <REP> d-------- C:\WINDOWS\Downloaded Installations

2008-04-01 19:37 . 2008-04-01 19:38 <REP> d-------- C:\Program Files\Messenger Plus! Live

2008-04-01 19:35 . 2008-04-01 19:35 <REP> d-------- C:\Program Files\MessengerPlus! 3

2008-03-31 17:18 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys

2008-03-31 17:18 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys

2008-03-30 22:09 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

2008-03-30 22:09 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll

2008-03-30 22:09 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

2008-03-30 21:38 . 2008-04-06 12:39 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-03-30 19:38 . 2007-10-25 18:56 8,510,976 -----c--- C:\WINDOWS\system32\dllcache\shell32.dll

2008-03-30 18:48 . 2008-04-14 10:38 <REP> d-------- C:\WINDOWS\$hf_mig$

2008-03-30 18:48 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-03-30 18:39 . 2008-03-30 18:39 <REP> d-------- C:\Program Files\Alwil Software

2008-03-30 18:33 . 2008-03-30 18:33 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData

2008-03-30 18:16 . 2008-03-30 18:17 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts

2008-03-30 18:15 . 2008-03-30 18:15 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE

2008-03-30 18:12 . 2008-03-30 18:15 <REP> d-------- C:\Program Files\Windows Live

2008-03-30 18:12 . 2008-03-30 18:14 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-03-30 18:11 . 2008-03-30 18:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-03-30 18:11 . 2008-03-30 18:11 1,138 --a------ C:\WINDOWS\mozver.dat

2008-03-30 17:58 . 2008-03-30 17:58 <REP> d-------- C:\Program Files\Direct X

2008-03-30 17:54 . 2008-03-30 17:54 0 --a------ C:\WINDOWS\nsreg.dat

2008-03-30 17:33 . 2008-03-30 17:33 <REP> d-------- C:\WINDOWS\nview

2008-03-30 17:33 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe

2008-03-30 17:33 . 2008-03-30 17:33 163,353 --a------ C:\WINDOWS\system32\nvapps.xml

2008-03-30 17:33 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu

2008-03-30 17:32 . 2008-03-30 17:32 <REP> d-------- C:\NVIDIA

2008-03-30 17:28 . 2008-03-30 17:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-03-30 17:25 . 2008-03-30 17:23 691,545 --a------ C:\WINDOWS\unins000.exe

2008-03-30 17:25 . 2008-03-30 17:25 2,557 --a------ C:\WINDOWS\unins000.dat

2008-03-30 17:15 . 2008-03-30 18:08 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-03-30 17:15 . 2008-03-30 18:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-03-30 17:11 . 2008-04-09 09:38 <REP> d-------- C:\Program Files\Look and Stop

2008-03-30 17:08 . 2008-03-30 17:08 <REP> d-------- C:\Program Files\Free.fr

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-14 09:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-12 07:36 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-03-30 14:50 --------- d-----w C:\Program Files\Winamp

2008-03-30 14:28 --------- d-----w C:\Program Files\Realtek Sound Manager

2008-03-30 14:28 --------- d-----w C:\Program Files\Realtek AC97

2008-03-30 14:28 --------- d-----w C:\Program Files\AvRack

2008-03-30 12:54 --------- d-----w C:\Program Files\WinISO

2008-03-30 12:54 --------- d-----w C:\Program Files\Java

2008-03-30 12:54 --------- d-----w C:\Program Files\Fichiers communs\Java

2008-03-30 12:54 --------- d-----w C:\Program Files\Alcohol Soft

2008-03-30 12:53 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2008-03-30 12:52 --------- d-----w C:\Program Files\FlashGet

2008-03-30 12:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-03-30 12:44 --------- d-----w C:\Program Files\Services en ligne

2008-03-29 17:45 1,146,232 ----a-w C:\WINDOWS\system32\aswBoot.exe

2008-03-29 17:35 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2008-03-29 17:29 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2008-03-29 17:27 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2008-03-29 17:26 26,944 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2008-03-29 17:23 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-02-16 09:02 663,552 ----a-w C:\WINDOWS\system32\wininet.dll

2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-04-14_19.59.18,90 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-14 17:57:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-14 18:37:56 2,048 --s-a-w C:\WINDOWS\bootstat.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2008-04-01 19:35 190024]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05 32881]

"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 577536 C:\WINDOWS\soundman.exe]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-10-25 07:37 35328]

"Look 'n' Stop"="C:\Program Files\Look and Stop\looknstop.exe" [2008-04-09 09:38 516164]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]

"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@=""

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"G:\\Jeux\\Sam\\World of Warcraft\\Repair.exe"=

"G:\\Program files\\eMule\\emule.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2008-04-09 09:38]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

 

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-14 20:39:43

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-04-14 20:39:56

ComboFix-quarantined-files.txt 2008-04-14 18:39:54

ComboFix2.txt 2008-04-14 18:33:44

ComboFix3.txt 2008-04-14 17:59:35

 

Pre-Run: 37,037,449,216 octets libres

[pear]

Bonsoir,

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Lancez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

C:\23990098.$$$

C:\WINDOWS\Lic.xxx

C:\WINDOWS\R.COM

C:\WINDOWS\system32\T.COM

 

Folder::

C:\WINDOWS\zts2.exe

C:\WINDOWS\system32\vcmgcd32.dll

C:\WINDOWS\rundll16.exe

C:\WINDOWS\rundl132.dll

C:\WINDOWS\logo1_.exe

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

 

Enregistrez-le en lui donnant le nom CFScript.txt

 

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

 

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[Candy13]

J'en profite pour vous remercier d'ores et déjà pour le travail accompli ...

 

Voici le résultat :

 

ComboFix 08-04-13.3 - Administrateur 2008-04-14 22:34:51.6 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.634 [GMT 2:00]

Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\23990098.$$$

C:\WINDOWS\Lic.xxx

C:\WINDOWS\R.COM

C:\WINDOWS\system32\T.COM

.

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-14 to 2008-04-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-14 20:03 . 2008-04-14 20:24 <REP> d-------- C:\Documents and Settings\Sam\Contacts

2008-04-14 19:58 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Sam\Voisinage r‚seau

2008-04-14 19:58 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Sam\Voisinage d'impression

2008-04-14 19:58 . 2008-03-30 14:41 <REP> d-------- C:\Documents and Settings\Sam\ModŠles

2008-04-14 19:58 . 2008-04-14 20:25 <REP> dr------- C:\Documents and Settings\Sam\Mes documents

2008-04-14 19:58 . 2008-03-30 16:35 <REP> dr------- C:\Documents and Settings\Sam\Menu D‚marrer

2008-04-14 19:58 . 2008-04-14 19:59 <REP> dr------- C:\Documents and Settings\Sam\Favoris

2008-04-14 19:58 . 2008-03-30 16:35 <REP> d-------- C:\Documents and Settings\Sam\Bureau

2008-04-14 19:58 . 2008-04-14 20:27 <REP> d-------- C:\Documents and Settings\Sam

2008-04-14 18:34 . 2008-04-14 18:34 9,542,403 --a------ C:\upload_moi_TITANIUM.tar.gz

2008-04-14 15:36 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Candy\Voisinage r‚seau

2008-04-14 15:36 . 2008-03-30 16:35 <REP> d--h----- C:\Documents and Settings\Candy\Voisinage d'impression

2008-04-14 15:36 . 2008-03-30 14:41 <REP> d-------- C:\Documents and Settings\Candy\ModŠles

2008-04-14 15:36 . 2008-04-14 15:37 <REP> dr------- C:\Documents and Settings\Candy\Mes documents

2008-04-14 15:36 . 2008-03-30 16:35 <REP> dr------- C:\Documents and Settings\Candy\Menu D‚marrer

2008-04-14 15:36 . 2008-04-14 15:37 <REP> dr------- C:\Documents and Settings\Candy\Favoris

2008-04-14 15:36 . 2008-03-30 16:35 <REP> d-------- C:\Documents and Settings\Candy\Bureau

2008-04-14 15:36 . 2008-04-14 15:36 <REP> d-------- C:\Documents and Settings\Candy

2008-04-14 13:46 . 2008-04-14 13:46 <REP> d-------- C:\Program Files\Trend Micro

2008-04-14 13:44 . 2008-04-14 14:16 <REP> d-------- C:\Program Files\SDFix

2008-04-14 12:47 . 2008-04-14 12:47 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll

2008-04-14 12:04 . 2008-04-14 12:05 <REP> d-------- C:\WINDOWS\ERUNT

2008-04-14 12:04 . 2008-04-14 12:11 <REP> d-------- C:\SDFix

2008-04-14 12:02 . 2008-04-14 12:03 <REP> d-------- C:\Kaspersky

2008-04-14 11:53 . 2008-04-14 11:53 <REP> d-------- C:\Program Files\CCleaner

2008-04-14 09:21 . 2008-04-14 09:21 399,616 --a------ C:\WINDOWS\system32\drivers\EagleNt.sys

2008-04-12 09:40 . 2008-04-12 09:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield

2008-04-09 09:38 . 2008-04-09 09:38 77,184 --a------ C:\WINDOWS\system32\drivers\lnsfw1.sys

2008-04-09 09:38 . 2008-04-09 09:38 45,824 --a------ C:\WINDOWS\system32\drivers\lnsfw.sys

2008-04-09 09:38 . 2008-04-09 09:38 36,924 --a------ C:\WINDOWS\system32\fwapi.dll

2008-04-05 18:09 . 2008-04-05 18:09 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AdobeUM

2008-04-05 18:08 . 2008-04-05 18:08 <REP> d-------- C:\Program Files\Fichiers communs\Adobe

2008-04-04 20:25 . 2008-04-04 20:25 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc

2008-04-04 18:46 . 2008-04-04 18:46 <REP> d-------- C:\Program Files\VideoLAN

2008-04-03 18:58 . 2008-04-03 18:58 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Nexon

2008-04-02 21:08 . 2008-04-02 21:08 <REP> d-------- C:\Program Files\Common Files

2008-04-02 21:08 . 2003-07-20 20:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd

2008-04-02 21:08 . 2005-01-04 11:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys

2008-04-02 18:09 . 2008-04-04 20:58 139,264 --a------ C:\WINDOWS\War3Unin.exe

2008-04-02 18:09 . 2008-04-04 21:06 70,024 --a------ C:\WINDOWS\War3Unin.dat

2008-04-02 18:09 . 2008-04-04 20:58 2,829 --a------ C:\WINDOWS\War3Unin.pif

2008-04-02 16:59 . 2008-04-02 16:59 <REP> d-------- C:\Logs

2008-04-02 16:55 . 2008-04-02 16:55 <REP> d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment

2008-04-02 12:53 . 2008-04-02 12:53 <REP> d-------- C:\WINDOWS\system32\Lang

2008-04-02 12:53 . 2008-04-02 12:53 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-04-02 12:53 . 2008-04-02 12:53 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-04-02 12:53 . 2008-04-02 13:03 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER

2008-04-02 12:53 . 2008-04-02 12:53 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE

2008-04-02 11:17 . 2008-04-02 11:17 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\ACD Systems

2008-04-02 10:24 . 2008-04-02 10:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-04-01 22:04 . 2008-04-01 22:04 <REP> d-------- C:\Program Files\Fichiers communs\ACD Systems

2008-04-01 22:04 . 2008-04-01 22:04 <REP> d-------- C:\Program Files\ACD Systems

2008-04-01 22:04 . 2008-04-01 22:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ACD Systems

2008-04-01 22:03 . 2008-04-01 22:03 <REP> d-------- C:\WINDOWS\Downloaded Installations

2008-04-01 19:37 . 2008-04-01 19:38 <REP> d-------- C:\Program Files\Messenger Plus! Live

2008-04-01 19:35 . 2008-04-01 19:35 <REP> d-------- C:\Program Files\MessengerPlus! 3

2008-03-31 17:18 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys

2008-03-31 17:18 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys

2008-03-30 22:09 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

2008-03-30 22:09 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll

2008-03-30 22:09 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

2008-03-30 21:38 . 2008-04-06 12:39 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-03-30 19:38 . 2007-10-25 18:56 8,510,976 -----c--- C:\WINDOWS\system32\dllcache\shell32.dll

2008-03-30 18:48 . 2008-04-14 10:38 <REP> d-------- C:\WINDOWS\$hf_mig$

2008-03-30 18:48 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-03-30 18:39 . 2008-03-30 18:39 <REP> d-------- C:\Program Files\Alwil Software

2008-03-30 18:33 . 2008-03-30 18:33 <REP> d---s---- C:\Documents and Settings\Administrateur\UserData

2008-03-30 18:16 . 2008-03-30 18:17 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts

2008-03-30 18:15 . 2008-03-30 18:15 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE

2008-03-30 18:12 . 2008-03-30 18:15 <REP> d-------- C:\Program Files\Windows Live

2008-03-30 18:12 . 2008-03-30 18:14 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-03-30 18:11 . 2008-03-30 18:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-03-30 18:11 . 2008-03-30 18:11 1,138 --a------ C:\WINDOWS\mozver.dat

2008-03-30 17:58 . 2008-03-30 17:58 <REP> d-------- C:\Program Files\Direct X

2008-03-30 17:54 . 2008-03-30 17:54 0 --a------ C:\WINDOWS\nsreg.dat

2008-03-30 17:33 . 2008-03-30 17:33 <REP> d-------- C:\WINDOWS\nview

2008-03-30 17:33 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe

2008-03-30 17:33 . 2008-03-30 17:33 163,353 --a------ C:\WINDOWS\system32\nvapps.xml

2008-03-30 17:33 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu

2008-03-30 17:32 . 2008-03-30 17:32 <REP> d-------- C:\NVIDIA

2008-03-30 17:28 . 2008-03-30 17:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-03-30 17:25 . 2008-03-30 17:23 691,545 --a------ C:\WINDOWS\unins000.exe

2008-03-30 17:25 . 2008-03-30 17:25 2,557 --a------ C:\WINDOWS\unins000.dat

2008-03-30 17:15 . 2008-03-30 18:08 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-03-30 17:15 . 2008-03-30 18:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-03-30 17:11 . 2008-04-09 09:38 <REP> d-------- C:\Program Files\Look and Stop

2008-03-30 17:08 . 2008-03-30 17:08 <REP> d-------- C:\Program Files\Free.fr

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-14 09:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-12 07:36 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-03-30 14:50 --------- d-----w C:\Program Files\Winamp

2008-03-30 14:28 --------- d-----w C:\Program Files\Realtek Sound Manager

2008-03-30 14:28 --------- d-----w C:\Program Files\Realtek AC97

2008-03-30 14:28 --------- d-----w C:\Program Files\AvRack

2008-03-30 12:54 --------- d-----w C:\Program Files\WinISO

2008-03-30 12:54 --------- d-----w C:\Program Files\Java

2008-03-30 12:54 --------- d-----w C:\Program Files\Fichiers communs\Java

2008-03-30 12:54 --------- d-----w C:\Program Files\Alcohol Soft

2008-03-30 12:53 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2008-03-30 12:52 --------- d-----w C:\Program Files\FlashGet

2008-03-30 12:45 --------- d-----w C:\Program Files\microsoft frontpage

2008-03-30 12:44 --------- d-----w C:\Program Files\Services en ligne

2008-03-29 17:35 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2008-03-29 17:29 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2008-03-29 17:27 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2008-03-29 17:26 26,944 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-04-14_19.59.18,90 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-14 17:57:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-14 20:37:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-14 20:37:30 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_644.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2008-04-01 19:35 190024]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05 32881]

"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 577536 C:\WINDOWS\soundman.exe]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-10-25 07:37 35328]

"Look 'n' Stop"="C:\Program Files\Look and Stop\looknstop.exe" [2008-04-09 09:38 516164]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]

"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@=""

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"G:\\Jeux\\Sam\\World of Warcraft\\Repair.exe"=

"G:\\Program files\\eMule\\emule.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2008-04-09 09:38]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

 

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-14 22:37:56

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-04-14 22:38:51 - machine was rebooted

ComboFix-quarantined-files.txt 2008-04-14 20:38:48

ComboFix2.txt 2008-04-14 20:33:32

ComboFix3.txt 2008-04-14 20:20:49

ComboFix4.txt 2008-04-14 18:39:57

ComboFix5.txt 2008-04-14 18:33:44

 

Pre-Run: 37,009,387,520 octets libres

Post-Run: 37,008,621,568 octets libres

.

2008-04-14 08:39:05 --- E O F ---

[pear]

Bonjour,

 

C'est bon, je crois.

 

Par sécurité->

 

TéléchargerClean.zip de Malekal.

http://www.malekal.com/download/clean.zip << ici

 

http://mickael.barroux.free.fr/securite/clean.php << Comment l'utiliser

 

Dézipez-le sur le bureau (clic droit / extraire tout), pour obtenir un dossier clean.

Ouvre le dossier clean , et double-clic sur clean.cmd

une fenêtre noire va apparaître pendant un instant, laissez la ouverte.

Choisir l'option 1 puis patienter

Poster le rapport obtenu

 

S’il demande d’uploader un fichier, le faire.

pour retrouver le rapport : double cliquer sur => C => double cliquer sur " rapport_clean txt.

et copiez/collez le sur la prochaine réponse .

 

 

Si clean a détecté des fichiers infectieux sur votre PC (lignes avec des noms de fichiers avec marqué "FOUND" à côté), il vous permet de vous en débarasser.

 

Pour une plus grande efficacité, il est préférable de le faire en mode sans échec.

 

Ensuite relancez clean, et dans le menu de la console noire, tapez 2, puis appuyez sur la touche Entrée de votre clavier.

 

[/color]

[Candy13]

Bonjour,

en effet ça a l'air bon. Je n'ai plus le message énervant d'Avast lors du lancement de mon jeu.

les rapports :

 

15/04/2008 a 10:17:48,60

 

*** Recherche des fichiers dans C:

 

*** Recherche des fichiers dans C:\WINDOWS\

 

*** Recherche des fichiers dans C:\WINDOWS\system32

 

*** Recherche des fichiers dans C:\Program Files

*** Fin du rapport !

 

 

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 15/04/2008 a 10:20:54,46

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

 

*** Suppression des fichiers dans C:\Program Files

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport

 

un énorme merci pour votre travail. Et pour la création de l'équipe sécurité. Sans vous, j'aurais eu droit, une fois de plus, à un formatage.

Le mode d'aide pas à pas est parfait pour un novice. Bref, MERCI et bravo .

 

Je ne sais pas si c'est utile ou souhaitable, mais je précise que je pense savoir ou j'ai récupéré cette saloperie. etant donné que je n'avais ouvert que cela avant d'avoir le problème et que j'ai vu qu'un autre utilisateur avais eu le même virus au même endroit.

 

http://fr.gpotato.eu/ Moi c'était sur Rappelz et l'autre gars sur Flyff . coïncidence étrange .... Mais bien sur je peux me tromper ....

 

Bonne journée

[pear]

Bonjour,

en effet ça a l'air bon

 

J'en suis content pour vous.

 

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche, si vous le pensez utile.