vundo revient tjrs a la charge !

[loorent]

Pc avec avast et kerio, + winupdate en auto.

 

aucun problemes depuis 2ans et demi, et la vundo fait des siennes.

 

j'ai eu des tentatives d'injection de code (alertes kerio) et des pop up de pub qui sont apparus.

 

j'ai telechargé antivir a la place d'avast, et celui pop-up regulirement pour des tentatives d'intrusion, et me dit que c'est TR/vundo.gen le coupable.

 

je n'arrive pas a m'en debarrasser: j'ai fait tourner plusieurs utilitaires types vundofix, mais les alertes continue de venir.

 

ci dessous le log highjackthis pour commencer :

 

(PS ne soyez pas trop surpris, je suis joueur de poker, et certaines entrées risque de vous paraitre inhabituelles.)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:24:48, on 24/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\LogMeIn\x86\RaMaint.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\LogMeIn\x86\LogMeInSystray.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\sstray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-299502267-343818398-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

 

--

End of file - 7032 bytes

[TheGhostRider]

Tu as bien configuré Antivir ?

Tu as fait un scan complet d'antivir ( tous les fichiers + rootkit ) sur tous les disques pour voir si il trouve quelque chose ?

[loorent]

oui, j'ai pai passé un antivir complet.

il m'a trouvé des virus et a mis les fichiers en quarantaine.

 

mais j'ai tjrs les pop up antivir sur des fichiers qui se trouvent ds "systeme volume information" et qui s'appellent A0080254.dll , par ex

[loorent]

un probleme lié a la surveillance des fichiers systemes, qui fait que le fichier est restauré sans arret ?

[Apollo]

Bonsoir à vous deux,

 

Cela se trouve dans les points de restauration système car Vundo n'apparait pas dans le log. Le fait de faire ce qui suit va supprimer tous les points de restau et par conséquent ceux qui sont infectés.

 

A vot' service m'sieur.

 

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système. (ou touche Windows + Pause --> onglet Restauration système).

 

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

 

Appliquer/OK.

 

Redémarrer le navigateur

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

@++

[Apollo]

Bonjour,

 

Renomme Hijackthis.exe en loorent.exe.

Refais un nouveau log Hijacktjhis pour voir si Vundo ne se planque pas à la vue de HJT.

 

Bonne journée.

[loorent]

a priori, le fait d'avoir enelver la sauvegarde automatiquepuis mis le fichier en quanrataine a resolu le pb.

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:48:07, on 24/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\LogMeIn\x86\RaMaint.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\LogMeIn\x86\LogMeInSystray.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\sstray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Google Video\gupload.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\Program Files\Trend Micro\HijackThis\loorent.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-299502267-343818398-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-299502267-343818398-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/hardwaredetection.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

 

--

End of file - 7150 bytes

[Apollo]

Re,

 

Ca a l'air bon, mais reviens à la première alerte car Vundo est un gros malin qui se cache; on va quand-même lancer ComboFix pour s'en assurer.

 

Lance Hijackthis en "do a system scan only" et coche ces cases:

 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab (http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab)

 

Ferme les applications et "Fix Checked"

 

Pour éliminer ctfmon.exe au démarrage:

 

Panneau de configuration >>> Options régionales et linguistiques >>> Langues >>> Détails >>> Barre de langue >>> Cocher la case "Arrêtez les services de texte avancés"

 

Télécharge ComboFix

http://www.forospyware.com/sUBs/ComboFix.exe

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  

 

@+ tard.

[loorent]

ok, meric beaucoup.

 

je vais lancer un combofix, mais juste avfant, j'ai eu encore une tentative d'injection de code. je ne sais pas si c'est du a vundo ou pas.

 

je post le log combofix dés que terminé.

 

[loorent]

le log combofix

 

ComboFix 08-04-22.1 - laurent 2008-04-24 16:39:42.4 - NTFSx86

 

Endroit: D:\Documents and Settings\laurent\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-24 to 2008-04-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-24 00:29 . 2008-04-24 00:29 13,030 --a------ C:\PDOXUSRS.NET

2008-04-23 23:00 . 2006-09-12 12:46 227,328 -r-hs---- C:\WINDOWS\system32\ac3DX.ax

2008-04-23 23:00 . 2006-03-10 22:48 169,472 -r-hs---- C:\WINDOWS\system32\MatroskaDX.ax

2008-04-23 23:00 . 2006-05-03 11:06 163,328 -r-hs---- C:\WINDOWS\system32\flvDX.dll

2008-04-23 23:00 . 2005-11-25 21:46 161,792 -r-hs---- C:\WINDOWS\system32\RealMediaDX.ax

2008-04-23 23:00 . 2006-01-13 00:23 123,904 -r-hs---- C:\WINDOWS\system32\AVCDX.ax

2008-04-23 23:00 . 2003-11-21 00:00 54,784 -r-hs---- C:\WINDOWS\system32\RLAPEDec.ax

2008-04-23 23:00 . 2004-04-27 00:00 37,888 -r-hs---- C:\WINDOWS\system32\RLMPCDec.ax

2008-04-23 23:00 . 2007-02-21 12:47 31,232 -r-hs---- C:\WINDOWS\system32\msfDX.dll

2008-04-23 23:00 . 2007-12-17 14:43 27,648 ---hs---- C:\WINDOWS\system32\Smab0.dll

2008-04-23 20:36 . 2008-04-23 20:36 <REP> d-------- C:\Program Files\Trend Micro

2008-04-23 00:25 . 2008-04-23 00:25 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-04-23 00:25 . 2008-04-23 00:25 <REP> d-------- C:\Documents and Settings\laurent\Application Data\Malwarebytes

2008-04-23 00:25 . 2008-04-23 00:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-04-22 15:27 . 2008-04-22 15:27 <REP> d-------- C:\Program Files\Avira

2008-04-22 15:27 . 2008-04-22 15:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-04-22 02:33 . 2008-04-22 02:33 <REP> d-------- C:\Program Files\Google Video

2008-04-22 01:07 . 2008-04-22 01:07 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-04-22 01:07 . 2008-04-22 01:07 1,409 --a------ C:\WINDOWS\QTFont.for

2008-04-21 12:12 . 2008-04-21 12:13 38 --a------ C:\WINDOWS\avisplitter.INI

2008-04-17 13:53 . 2008-04-17 13:53 <REP> d-------- C:\Documents and Settings\laurent\Application Data\LEAPS

2008-04-17 13:52 . 2008-04-17 13:52 <REP> d-------- C:\Documents and Settings\laurent\Application Data\Pegasys Inc

2008-04-17 13:39 . 2008-04-17 13:39 <REP> d-------- C:\Program Files\Pegasys Inc

2008-04-17 13:39 . 2008-04-17 13:39 36,352 --a------ C:\WINDOWS\system32\khfffdc.dll.vir

2008-04-17 11:32 . 2008-04-17 11:32 <REP> d-------- C:\Program Files\AsfTools 3.1

2008-04-17 11:10 . 2008-04-17 12:04 <REP> d-------- C:\Program Files\Boilsoft ASF Converter

2008-04-17 10:51 . 2008-04-17 10:51 <REP> d-------- C:\Documents and Settings\laurent\Application Data\AVS4YOU

2008-04-17 10:51 . 2008-04-17 10:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AVS4YOU

2008-04-17 10:48 . 2008-04-17 11:02 <REP> d-------- C:\Program Files\Fichiers communs\AVSMedia

2008-04-17 10:48 . 2008-04-17 11:02 <REP> d-------- C:\Program Files\AVS4YOU

2008-04-17 10:48 . 2002-08-20 01:41 413,760 --a------ C:\WINDOWS\system32\mpg4c32.dll

2008-04-17 10:48 . 2003-05-22 00:50 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll

2008-04-17 10:48 . 2003-05-22 13:26 221,215 --a------ C:\WINDOWS\system32\divxdec.ax

2008-04-17 10:48 . 2003-05-22 00:50 156,910 --a------ C:\WINDOWS\WMSysPr8.prx

2008-04-17 10:48 . 2003-05-22 00:50 82,944 --a------ C:\WINDOWS\system32\vct3216.acm

2008-04-17 10:48 . 2003-05-22 00:50 38,912 --a------ C:\WINDOWS\system32\alf2cd.acm

2008-04-17 10:48 . 2000-03-14 21:55 13,239 --a------ C:\WINDOWS\system32\Scg726.acm

2008-04-17 09:53 . 2008-04-17 09:53 0 --a------ C:\WINDOWS\graphedit.INI

2008-04-17 09:43 . 2008-04-17 09:45 <REP> d-------- C:\Documents and Settings\laurent\Application Data\gtk-2.0

2008-04-17 09:42 . 2008-04-17 09:43 <REP> d-------- C:\Documents and Settings\laurent\avidemux

2008-04-16 17:49 . 2008-04-16 17:49 <REP> d-------- C:\Program Files\SourceForge

2008-04-16 13:31 . 2008-04-16 13:31 <REP> d-------- C:\Program Files\StreamboxVcrSuite2

2008-04-16 13:20 . 2008-04-16 13:20 <REP> d-------- C:\Program Files\Xi

2008-04-16 13:20 . 2008-04-16 13:20 <REP> d-------- C:\Documents and Settings\laurent\Application Data\Xi

2008-04-15 13:21 . 2008-04-15 13:21 <REP> d-------- C:\Program Files\NTR global

2008-04-15 13:19 . 2008-04-15 13:19 143 --a------ C:\WINDOWS\system32\'

2008-04-15 13:17 . 2005-06-11 00:02 12,800 --a------ C:\WINDOWS\system32\vncdrv.dll

2008-04-15 13:17 . 2004-06-26 15:22 6,016 --a------ C:\WINDOWS\system32\drivers\vnccom.SYS

2008-04-15 13:17 . 2004-06-26 15:21 5,760 --a------ C:\WINDOWS\system32\vnchelp.dll

2008-04-15 13:17 . 2004-06-26 15:22 4,736 --a------ C:\WINDOWS\system32\drivers\vncdrv.sys

2008-04-15 13:14 . 2008-04-15 13:21 <REP> d-------- C:\Documents and Settings\laurent\Application Data\ntr

2008-04-15 11:25 . 2008-04-15 11:25 <REP> d-------- C:\Documents and Settings\laurent\.nx

2008-04-15 00:16 . 2005-02-20 16:22 <REP> d--h----- C:\Documents and Settings\LogMeInRemoteUser\Voisinage r‚seau

2008-04-15 00:16 . 2005-02-20 16:22 <REP> d--h----- C:\Documents and Settings\LogMeInRemoteUser\Voisinage d'impression

2008-04-15 00:16 . 2005-02-20 16:27 <REP> d--h----- C:\Documents and Settings\LogMeInRemoteUser\ModŠles

2008-04-15 00:16 . 2005-02-20 16:22 <REP> d-------- C:\Documents and Settings\LogMeInRemoteUser\Mes documents

2008-04-15 00:16 . 2005-02-20 16:22 <REP> dr------- C:\Documents and Settings\LogMeInRemoteUser\Menu D‚marrer

2008-04-15 00:16 . 2005-02-20 16:22 <REP> d-------- C:\Documents and Settings\LogMeInRemoteUser\Favoris

2008-04-15 00:16 . 2005-02-20 16:22 <REP> d-------- C:\Documents and Settings\LogMeInRemoteUser\Bureau

2008-04-15 00:16 . 2008-04-24 16:07 <REP> d-------- C:\Documents and Settings\LogMeInRemoteUser

2008-04-15 00:16 . 2008-04-24 16:49 16,384 --ah----- C:\Documents and Settings\LogMeInRemoteUser\NtUser.dat.LOG

2008-04-15 00:11 . 2007-11-15 18:46 87,352 --a------ C:\WINDOWS\system32\LMIinit.dll

2008-04-15 00:11 . 2007-11-15 18:46 83,288 --a------ C:\WINDOWS\system32\LMIRfsClientNP.dll

2008-04-15 00:11 . 2007-08-03 15:09 46,112 --a------ C:\WINDOWS\system32\drivers\LMIRfsDriver.sys

2008-04-15 00:11 . 2007-11-15 18:46 21,496 --a------ C:\WINDOWS\system32\LMIport.dll

2008-04-15 00:10 . 2008-04-24 00:01 <REP> d-------- C:\Program Files\LogMeIn

2008-04-01 01:58 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll

2008-04-01 01:58 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll

2008-04-01 01:58 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll

2008-04-01 01:58 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll

2008-04-01 01:58 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll

2008-04-01 01:58 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll

2008-04-01 01:58 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll

2008-04-01 01:58 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll

2008-04-01 01:58 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll

2008-04-01 01:58 . 2007-10-22 03:37 17,928 --a------ C:\WINDOWS\system32\X3DAudio1_2.dll

2008-04-01 01:57 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll

2008-04-01 01:57 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-23 21:41 --------- d-----w C:\Documents and Settings\laurent\Application Data\Azureus

2008-04-23 17:38 --------- d-----w C:\Program Files\PokerStars

2008-04-22 23:52 988 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err

2008-04-22 22:24 --------- d-----w C:\Program Files\Common Files

2008-04-22 17:35 --------- d-----w C:\Program Files\Full Tilt Poker

2008-04-18 22:13 --------- d-----w C:\Program Files\PokerOffice

2008-04-17 11:38 --------- d-----w C:\Program Files\Azureus

2008-04-13 19:08 --------- d-----w C:\Program Files\WinamaxPoker

2008-04-09 22:53 --------- d-----w C:\Program Files\bwin

2008-04-09 22:52 --------- d-----w C:\Program Files\Everest Poker

2008-04-09 22:50 --------- d-----w C:\Program Files\PartyGaming

2008-04-09 22:39 --------- d-----w C:\Program Files\Titan Poker

2008-04-09 22:33 --------- d-----w C:\Documents and Settings\laurent\Application Data\Microgaming

2008-04-07 22:30 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-03-22 03:37 --------- d-----w C:\Program Files\emule

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-06 23:34 --------- d-----w C:\Program Files\Microsoft ActiveSync

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-26 22:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Cyberlink

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-02-07 14:15 408,576 ----a-w C:\WINDOWS\system32\Smab.dll

2008-01-31 14:28 44,544 ----a-w C:\WINDOWS\system32\msxml4a.dll

2008-01-31 14:28 198,144 ------w C:\WINDOWS\system32\_psisdecd.dll

2007-11-18 18:07 22,328 ----a-w C:\Documents and Settings\laurent\Application Data\PnkBstrK.sys

2007-11-04 00:46 50,328 ----a-w C:\Documents and Settings\laurent\Application Data\GDIPFONTCACHEV1.DAT

2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll

2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll

2007-12-17 12:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-04-23_ 2.01.20.51 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-22 23:56:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-24 14:46:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat

- 2006-04-12 08:47:22 217,073 ----a-w C:\WINDOWS\meta4.exe

+ 2006-04-12 07:47:22 217,073 ----a-w C:\WINDOWS\meta4.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 15:07 1289000]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nForce Tray Options"="sstray.exe" [2003-06-17 18:18 73728 C:\WINDOWS\system32\sstray.exe]

"POINTER"="point32.exe" []

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-08-28 01:59 8466432]

"nwiz"="nwiz.exe" [2007-08-28 01:59 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-08-28 01:59 81920]

"LogMeIn GUI"="C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" [2007-08-03 15:09 63048]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360]

"Picasa Media Detector"="d:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoActiveDesktop"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

LMIinit.dll 2007-11-15 18:46 87352 C:\WINDOWS\system32\LMIinit.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= i420vfw.dll

"msacm.l3acm"= l3codecp.acm

"vidc.yv12"= yv12vfw.dll

"msacm.scg726"= scg726.acm

"msacm.alf2cd"= alf2cd.acm

"vidc.dvsd"= mcdvd_32.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\WINDOWS\\system32\\dpnsvr.exe"=

"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"C:\\Program Files\\Azureus\\Azureus.exe"=

"C:\\Program Files\\adslTV\\vlc.exe"=

"C:\\Program Files\\emule\\emule.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

\Shell\AutoRun\command - I:\autorun.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-04-17 07:00:20 C:\WINDOWS\Tasks\Feist My Moon My Man.job"

- D:\Documents and Settings\laurent\Bureau\musique\Feist My Moon My Man.mp3

"2008-04-24 14:50:00 C:\WINDOWS\Tasks\User_Feed_Synchronization-{BB2CC54B-675A-46DC-87BD-6FB236B14209}.job"

- C:\WINDOWS\system32\msfeedssync.exe

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-24 16:48:02

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]

"ImagePath"="\"C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"C:\Program Files\MySQL\MySQL Server 4.1\my.ini\" MySQL"

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\system32\nview.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\Program Files\LogMeIn\x86\ramaint.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\rundll32.exe

D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft ActiveSync\rapimgr.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-04-24 16:52:52 - machine was rebooted

ComboFix-quarantined-files.txt 2008-04-24 14:52:43

ComboFix2.txt 2008-04-23 21:54:26

ComboFix3.txt 2008-04-23 00:03:50

 

Pre-Run: 3,839,528,960 octets libres

Post-Run: 3,827,486,720 octets libres

 

228 --- E O F --- 2008-04-15 00:07:06