Infection par le virus Win32:Beagle-AAW[Trj]

ephese · le 12 mai 2008

Bonjour à la communauté

Ca fait trois jours que je me débat avec le virus Win32:Beagle-AAW[Trj] . J'ai besoin d'aide et de conseils et je voudrai que l'ont me conseil sur une protection plus sur qu'avast

Merci de votre aide .... oh secour

Voilà le fichier txt de HijackThisFR

Logfile of HijackThis v1.99.1

Scan saved at 19:17:13, on 12/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DiagAP8169] C:\Program Files\MSI\LAN Utility\DiagAP8169 /hw

O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

facks · le 12 mai 2008

Bonjour, pour l'antivirus prends celui ci: http://telechargement.zebulon.fr/antivir.html

pear · le 12 mai 2008

Bonsoir,

Faites bien attention à suivre l'alinéa 3):

Vous allez télécharger Combofix.

Auparavant, et pour pour éviter quelque mauvaise manoeuvre avec ce logiciel très puissant,lisez attentivement ce

Tutoriel:

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

Nous allons d'abord installer la Console de Récupération sur le pc .

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

2)

* Taper sur la touche 1 pour démarrer le scan.

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé,( cela pourrait prendre un certain temps),un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

********************************************************************************

**********************

3)

Bagle cible tout fichier nommé ComboFix et lui saute dessus, ce qui vous donne un message d'erreur.

Désinstallez Combofix

Démarrer > Exécuter et copier/coller cette commande > "%userprofile%\Bureau\combofix.exe" /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

En cas d'échec ,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter cette infection.I

Pour cela Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

.

Modifié le 12 mai 2008 par pear

ephese · le 12 mai 2008

Voilà un scanne avec combofix mais je ne vois pas ce que je dois faire avec ce fichier ? Je suis un peu paumé

ComboFix 08-05-11.1 - pascal 2008-05-12 21:36:37.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1634 [GMT 2:00]

Endroit: C:\Documents and Settings\pascal\Bureau\Combo--Fix.exe

.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-12 to 2008-05-12 ))))))))))))))))))))))))))))))))))))

.

2008-05-12 21:36 . 2008-05-12 21:36 <REP> d-------- C:\ComboFix

2008-05-12 20:29 . 2008-05-12 20:29 <REP> d-------- C:\kav

2008-05-12 19:15 . 2008-05-12 19:15 <REP> d-------- C:\antibagle

2008-05-12 19:07 . 2008-05-12 21:18 <REP> d-------- C:\Program Files\Mozilla Thunderbird

2008-05-12 19:07 . 2008-05-12 19:07 <REP> d-------- C:\Documents and Settings\pascal\Application Data\Thunderbird

2008-05-12 19:07 . 2008-05-12 19:07 <REP> d-------- C:\Documents and Settings\pascal\Application Data\Talkback

2008-05-12 18:33 . 2008-05-12 18:33 <REP> d-------- C:\Program Files\EPSON

2008-05-12 18:33 . 2003-07-28 03:10 76,045 --a------ C:\WINDOWS\system32\EBPMON24.DLL

2008-05-12 18:33 . 2003-05-21 04:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL

2008-05-12 18:33 . 2000-06-07 03:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL

2008-05-12 18:33 . 2003-07-16 15:14 31,744 --a------ C:\WINDOWS\system32\E_DCINST.DLL

2008-05-12 18:33 . 2008-05-12 18:33 17,285 --a------ C:\WINDOWS\EPSTPLOG.BAK

2008-05-12 18:33 . 2001-09-04 04:04 182 --a------ C:\WINDOWS\system32\EBPPORT4.DAT

2008-05-12 18:32 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-05-12 18:32 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys

2008-05-12 18:32 . 2008-05-12 18:32 25 --a------ C:\WINDOWS\CDER200Euro.ini

2008-05-12 18:08 . 2008-05-12 18:08 1,024 --ah----- C:\Documents and Settings\Default User\NTUSER.DAT.LOG

2008-05-12 18:05 . 2006-03-02 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

2008-05-12 18:04 . 2006-03-02 14:00 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\smtpsnap.dll

2008-05-12 18:03 . 2008-05-12 18:03 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

2008-05-12 18:03 . 2008-05-12 18:03 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

2008-05-12 18:03 . 2008-05-12 18:03 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

2008-05-12 18:03 . 2008-05-12 18:03 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest

2008-05-12 18:03 . 2008-05-12 18:03 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

2008-05-12 18:03 . 2008-05-12 18:03 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

2008-05-12 17:59 . 2006-03-02 14:00 1,086,058 -ra------ C:\WINDOWS\SET2D.tmp

2008-05-12 17:59 . 2006-03-02 14:00 1,013,912 -ra------ C:\WINDOWS\SET2A.tmp

2008-05-12 17:59 . 2006-03-02 14:00 14,573 -ra------ C:\WINDOWS\SET74.tmp

2008-05-12 17:59 . 2006-03-02 14:00 14,043 -ra------ C:\WINDOWS\SET39.tmp

2008-05-12 17:43 . 2008-05-12 17:43 <REP> d-------- C:\WINDOWS\NV11681464.TMP

2008-05-12 17:43 . 2008-05-12 17:43 <REP> d-------- C:\WINDOWS\NV11681448.TMP

2008-05-12 16:57 . 2005-03-29 21:05 516,096 --a------ C:\WINDOWS\system32\ati2sgag.exe

2008-05-12 16:57 . 2005-03-29 19:08 299,008 -ra------ C:\WINDOWS\system32\atiiiexx.dll

2008-05-12 16:57 . 2005-03-17 08:29 81,342 -ra------ C:\WINDOWS\system32\atiicdxx.dat

2008-05-12 16:57 . 2005-01-28 09:12 9,684 -ra------ C:\WINDOWS\system32\atifglpf.xml

2008-05-12 16:56 . 2008-05-12 16:59 <REP> d-------- C:\Program Files\ATI Technologies

2008-05-12 16:49 . 2008-05-07 10:54 29,016 --a------ C:\WINDOWS\system32\ntaccess_64.sys

2008-05-12 16:49 . 2008-05-07 10:50 17,920 --a------ C:\WINDOWS\system32\Ntaccess.sys

2008-05-12 16:49 . 2004-07-23 16:09 13,368 --a------ C:\WINDOWS\system32\FlashVxd.vxd

2008-05-12 16:49 . 2007-12-14 09:21 9,216 --a------ C:\WINDOWS\system32\drivers\FlashSys.sys

2008-05-12 16:48 . 2008-05-12 16:48 264 --a------ C:\WINDOWS\_delis32.ini

2008-05-12 16:44 . 2004-05-20 10:11 172,032 --a------ C:\WINDOWS\system32\nvuide.exe

2008-05-12 16:44 . 2004-03-21 02:30 464 --a------ C:\WINDOWS\system32\nvide.nvu

2008-05-12 16:43 . 2004-06-24 18:57 172,032 --a------ C:\WINDOWS\system32\nvusmb.exe

2008-05-12 16:43 . 2004-05-10 08:52 172,032 --a------ C:\WINDOWS\system32\nvunrm.exe

2008-05-12 16:43 . 2004-06-24 18:57 172,032 --a------ C:\WINDOWS\system32\NVUNINST.EXE

2008-05-12 16:43 . 2004-04-27 15:22 172,032 --a------ C:\WINDOWS\system32\nvugart.exe

2008-05-12 16:43 . 2004-03-21 02:30 2,509 --a------ C:\WINDOWS\system32\nvnrm.nvu

2008-05-12 16:43 . 2004-04-27 15:22 2,124 --a------ C:\WINDOWS\system32\nvgart.nvu

2008-05-12 16:43 . 2004-06-18 02:30 789 --a------ C:\WINDOWS\system32\nvsmb.nvu

2008-05-12 16:41 . 2003-07-14 13:57 143,360 --a------ C:\WINDOWS\system32\IpLib.dll

2008-05-12 16:41 . 2003-09-02 11:25 11,266 --a------ C:\WINDOWS\system32\drivers\diag69xp.sys

2008-05-12 16:09 . 2004-05-17 13:49 198,656 --a------ C:\WINDOWS\system32\fdco1.dll

2008-05-12 16:09 . 2004-05-17 14:00 191,232 --a------ C:\WINDOWS\system32\drivers\nvsnpu.sys

2008-05-12 16:09 . 2004-05-17 14:00 56,960 --a------ C:\WINDOWS\system32\drivers\nvnrm.sys

2008-05-12 16:09 . 2004-05-17 14:00 33,280 --a------ C:\WINDOWS\system32\drivers\NVENETFD.sys

2008-05-12 16:09 . 2004-05-10 08:53 32,256 --a------ C:\WINDOWS\system32\nvconrm.dll

2008-05-12 16:09 . 2004-03-25 15:29 32,256 --a------ C:\WINDOWS\system32\NVCOG.DLL

2008-05-12 16:09 . 2003-10-29 13:02 21,120 --a------ C:\WINDOWS\system32\drivers\nv_agp.SYS

2008-05-12 16:09 . 2004-05-17 14:00 12,928 --a------ C:\WINDOWS\system32\drivers\nvnetbus.sys

2008-05-12 16:09 . 2004-05-17 13:48 8,192 --a------ C:\WINDOWS\system32\bdco1.dll

2008-05-12 16:08 . 2004-06-03 10:40 79,360 --a------ C:\WINDOWS\system32\drivers\nvatabus.sys

2008-05-12 15:32 . 2008-05-12 17:31 115,495 --a------ C:\WINDOWS\setupapi.old

2008-05-12 15:32 . 2008-05-12 15:52 10 --a------ C:\WINDOWS\WININIT.INI

2008-05-12 14:31 . 2008-05-12 14:31 <REP> d-------- C:\Documents and Settings\pascal\Application Data\ATI

2008-05-12 14:26 . 2008-05-12 14:26 <REP> d-------- C:\WINDOWS\system32\URTTemp

2008-05-12 12:38 . 2008-05-12 19:17 <REP> d-------- C:\Program Files\Hijackthis Version Française

2008-05-12 11:41 . 2008-05-12 12:24 <REP> d-------- C:\Program Files\Yahoo!

2008-05-12 11:19 . 2008-05-12 11:19 <REP> d-------- C:\Program Files\MSXML 6.0

2008-05-12 11:13 . 2008-05-12 11:13 <REP> dr------- C:\Documents and Settings\LocalService\Favoris

2008-05-12 10:54 . 2008-05-12 15:47 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-05-12 10:43 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-05-12 10:21 . 2008-05-12 10:21 <REP> d-------- C:\Program Files\Alwil Software

2008-05-12 01:40 . 2008-05-12 17:16 <REP> d-------- C:\Program Files\Setup Files

2008-05-12 01:38 . 2008-05-12 01:38 13,646 --a------ C:\WINDOWS\system32\wpa.bak

2008-05-12 01:37 . 2008-05-12 01:37 1,169 --a------ C:\WINDOWS\mozver.dat

2008-05-12 01:28 . 2008-05-12 01:28 <REP> d-------- C:\Program Files\SAGEM

2008-05-12 01:28 . 2004-09-06 17:35 126,976 --a------ C:\WINDOWS\system32\coclassfast.dll

2008-05-12 01:03 . 2001-08-17 23:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2008-05-12 01:02 . 2004-08-19 17:54 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2008-05-12 01:01 . 2004-08-19 16:09 870,784 --a------ C:\WINDOWS\system32\ati3d1ag.dll

2008-05-12 01:01 . 2001-08-17 23:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys

2008-05-07 20:26 . 2004-06-03 10:40 294,400 --a------ C:\WINDOWS\system32\idecoi.dll

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-12 14:57 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-05-12 14:49 --------- d-----w C:\Program Files\MSI

2008-05-11 21:51 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-05-11 21:45 45,768 ----a-w C:\WINDOWS\system32\drivers\MiniIcpt.sys

2008-05-11 21:12 --------- d-----w C:\Program Files\microsoft frontpage

2008-05-11 21:10 --------- d-----w C:\Program Files\Services en ligne

2008-04-07 14:06 105,088 ----a-w C:\WINDOWS\system32\drivers\Rtnicxp.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 21:05 339968]

"DiagAP8169"="C:\Program Files\MSI\LAN Utility\DiagAP8169 /hw" [ ]

"LiveMonitor"="C:\Program Files\MSI\Live Update 3\LMonitor.exe" [2008-04-30 18:30 498176]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 00:36 32768]

"EPSON Stylus Photo R200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.exe" [2003-09-11 05:00 99840]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Barre d'‚tat systŠme d'ATI CATALYST.lnk - C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 00:36:36 32768]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

S2 LANPkt;Realtek LANPkt Protocol;C:\WINDOWS\system32\DRIVERS\LANPkt.sys [2003-09-17 15:57]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\Auto\command - RavMon.exe e

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

\Shell\Auto\command - RavMon.exe e

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c418d784-1fac-11dd-81a6-806d6172696f}]

\Shell\AutoRun\command - E:\atisetup.exe

\Shell\launch\command - E:\atisetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc7d8642-202e-11dd-bf09-00604c597177}]

\Shell\AutoRun\command - nideiect.com

\Shell\explore\Command - nideiect.com

\Shell\open\Command - nideiect.com

*Newly Created Service* - BITS

*Newly Created Service* - DIAG69XP

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-12 21:37:20

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\Diag69xp]

"ImagePath"="System32\Drivers\Diag69xp.sys"

.

Temps d'accomplissement: 2008-05-12 21:37:45

ComboFix-quarantined-files.txt 2008-05-12 19:37:43

Pre-Run: 311,583,518,720 octets libres

Post-Run: 311,575,367,680 octets libres

156 --- E O F --- 2008-05-12 10:01:36

pear · le 13 mai 2008

Bonjour,

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc7d8642-202e-11dd-bf09-00604c597177}]

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt[/color

Téléchargez Flashdisinfector de sUBs

Sauvegardez le sur le bureau.

* Branchez les supports amovibles, démarrez les (disques dur externes par exemple) pour ceux qui le devraient.

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

-Connecter tous les disques amovibles (disque dur externe, clé USB…)

-Ouvrez le poste de travail

-Clic sur le menu outils en haut à droite puis options des dossiers

-Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-Cocher dans la liste "Afficher les fichiers cachés"

-Décocher "masquer les fichier protégés du système d’exploitation (recommandée)"

-Un message dit que cela peut endommager le système, ne pas en tenir compte.

-Pour chaque disque dans le poste de travail : Faire un clic droit sur le disque dur surtout ne pas double-cliquer pas dessus!!!

-Choisir ouvrir dans le menu déroulant.

-Chercher un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs

-Si présents, supprimez-les en faisant un clic droit puis supprimer.

- Répèter l'opération sur tous les disques se trouvant dans le poste de travail.

* Double-cliquez sur Flash_Disinfector.exe.

* Cela sera très rapide, un message informera de la fin du fix.

Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prendre soin de ne pas laisser de documents (word, excel) ouverts à ce moment la.

* S'il y a plusieurs supports fixexe ou amovibles , renouveler l'opération en les branchant l'un après l'autre.

Modifié le 13 mai 2008 par pear

Maropower · le 16 mai 2008

J'ai télécharger ComboFix, et j'ai suivi vos étapes

voici ce qe j'ai obtenu comme résutat

pouvez vous me dire ce qe je dois faire mnt

Merci d'avance

ComboFix 08-05-15.2 - Administrateur 2008-05-16 12:05:43.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.181 [GMT 2:00]

Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Administrateur\Bureau\WinXP_FR_PRO_BF.EXE

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Previous Run -------

.

C:\windows\system32\Cache

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-16 to 2008-05-16 ))))))))))))))))))))))))))))))))))))

.

2008-05-16 11:05 . 2008-05-16 11:05 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG

2008-05-11 11:00 . 2008-05-11 11:00 <REP> d-------- C:\Program Files\IcoFX 1.6

2008-05-11 11:00 . 2008-05-11 11:31 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\IcoFX

2008-05-08 23:35 . 2008-05-08 23:35 <REP> d-------- C:\WINDOWS\IIS Temporary Compressed Files

2008-05-08 23:34 . 2001-08-23 17:47 43,520 --a------ C:\WINDOWS\system32\fcachdll.dll

2008-05-08 23:34 . 2001-08-23 15:46 24,340 --a------ C:\WINDOWS\system32\smtpctrs.ini

2008-05-08 23:34 . 2001-08-23 17:47 23,040 --a------ C:\WINDOWS\system32\regtrace.exe

2008-05-08 23:34 . 2001-08-23 17:47 12,800 --a------ C:\WINDOWS\system32\smtpctrs.dll

2008-05-08 23:34 . 2001-07-21 22:23 8,002 --a------ C:\WINDOWS\system32\smtpctrs.h

2008-05-08 23:34 . 2001-08-23 17:47 7,168 --a------ C:\WINDOWS\system32\snprfdll.dll

2008-05-08 23:34 . 2001-08-23 17:46 5,632 --a------ C:\WINDOWS\system32\adsiisex.dll

2008-05-08 23:34 . 2001-08-23 15:46 1,106 --a------ C:\WINDOWS\system32\ntfsdrct.ini

2008-05-08 23:34 . 2001-07-21 22:23 773 --a------ C:\WINDOWS\system32\ntfsdrct.h

2008-05-08 23:32 . 2008-05-12 23:06 <REP> d-------- C:\WINDOWS\system32\Logfiles

2008-05-08 23:32 . 2008-05-08 23:35 <REP> d-------- C:\Inetpub

2008-05-06 14:33 . 2008-05-06 14:33 <REP> d-------- C:\Program Files\SQLXML 4.0

2008-05-06 14:08 . 2008-05-06 14:08 <REP> d-------- C:\Program Files\Microsoft Analysis Services

2008-05-05 12:09 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe

2008-05-05 12:09 . 2008-05-05 12:13 1,888 --a------ C:\WINDOWS\sql.mif

2008-05-05 12:09 . 2008-05-05 12:13 128 --a------ C:\WINDOWS\setup.iss

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\WINDOWS\system32\xircom

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\WINDOWS\system32\oobe

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\WINDOWS\srchasst

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\Program Files\microsoft frontpage

2008-05-04 20:57 . 2004-08-04 00:54 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2008-05-04 20:57 . 2004-08-04 00:45 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2008-05-04 20:57 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys

2008-05-04 20:56 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-05-04 20:56 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

2008-05-02 00:40 . 2008-05-02 00:40 <REP> d-------- C:\Program Files\Nevron

2008-04-30 20:53 . 2008-05-16 01:24 2,528 --a------ C:\WINDOWS\system32\settings.aaw

2008-04-30 20:53 . 2008-05-16 01:24 720 --a------ C:\WINDOWS\system32\history.aaw

2008-04-29 12:41 . 2008-04-29 12:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\ACD Systems

2008-04-27 23:29 . 2008-04-27 23:29 <REP> d-------- C:\Program Files\Winamp

2008-04-27 23:29 . 2008-04-28 00:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Winamp

2008-04-22 20:01 . 2008-04-22 20:01 <REP> d-------- C:\Program Files\ooVoo

2008-04-22 19:50 . 2008-04-22 19:53 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\ooVoo Details

2008-04-22 12:48 . 2008-04-22 12:50 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-04-22 12:42 . 2008-04-22 12:42 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Samsung

2008-04-22 12:41 . 2008-04-22 12:40 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys

2008-04-22 12:11 . 2008-04-22 12:11 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers

2008-04-22 12:11 . 2008-04-22 12:11 <REP> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs

2008-04-22 12:11 . 2005-08-30 01:49 94,000 --a------ C:\WINDOWS\system32\drivers\ssm_mdm.sys

2008-04-22 12:11 . 2005-08-30 01:47 58,320 --a------ C:\WINDOWS\system32\drivers\ssm_bus.sys

2008-04-22 12:11 . 2005-08-30 01:49 8,336 --a------ C:\WINDOWS\system32\drivers\ssm_mdfl.sys

2008-04-22 12:11 . 2005-08-30 01:49 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cmnt.sys

2008-04-22 12:11 . 2005-08-30 01:49 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cm.sys

2008-04-22 12:11 . 2005-08-30 01:47 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_whnt.sys

2008-04-22 12:11 . 2005-08-30 01:47 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_wh.sys

2008-04-22 12:11 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-04-22 12:10 . 2008-04-22 12:10 <REP> d-------- C:\Program Files\Samsung

2008-04-21 22:45 . 2008-05-10 21:46 <REP> d-------- C:\Program Files\Microsoft SQL Server

2008-04-21 22:43 . 2008-04-21 22:43 <REP> d-------- C:\Program Files\Microsoft SQL Server 2005 Mobile Edition

2008-04-21 22:43 . 2008-04-21 22:43 <REP> d-------- C:\Program Files\Microsoft Device Emulator

2008-04-21 22:33 . 2008-04-21 22:33 <REP> d-------- C:\Program Files\MSBuild

2008-04-21 22:19 . 2008-04-21 22:19 <REP> d-------- C:\WINDOWS\Symbols

2008-04-21 22:19 . 2008-04-21 22:32 <REP> d-------- C:\Program Files\HTML Help Workshop

2008-04-21 22:19 . 2008-04-21 22:30 <REP> d-------- C:\Program Files\Fichiers communs\Merge Modules

2008-04-21 22:19 . 2008-04-21 22:21 <REP> d-------- C:\Program Files\Fichiers communs\Business Objects

2008-04-21 22:19 . 2008-04-21 22:19 <REP> d-------- C:\Program Files\CE Remote Tools

2008-04-21 22:19 . 2008-04-21 22:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PreEmptive Solutions

2008-04-21 22:16 . 2008-04-21 22:33 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8

2008-04-21 22:16 . 2008-05-10 21:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-04-20 10:37 . 2008-04-20 10:37 <REP> d-------- C:\Program Files\Kap.TOEFL

2008-04-20 00:16 . 2008-04-20 00:16 <REP> d--h----- C:\BJPrinter

2008-04-18 19:30 . 2008-05-04 23:10 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\U3

2008-04-17 18:37 . 2004-08-03 23:10 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys

2008-04-17 18:37 . 2004-08-03 23:10 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS

2008-04-17 18:37 . 2004-08-04 00:55 16,384 --a------ C:\WINDOWS\system32\ipsink.ax

2008-04-17 18:37 . 2004-08-03 23:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys

2008-04-17 18:37 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys

2008-04-17 18:37 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys

2008-04-17 18:37 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys

2008-04-17 18:17 . 2008-04-17 18:17 <REP> d-------- C:\Program Files\Google

2008-04-17 10:46 . 2008-04-17 10:46 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

2008-04-17 08:28 . 2008-04-30 21:48 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts

2008-04-17 07:00 . 2008-04-21 22:36 530 --a------ C:\WINDOWS\ODBC.INI

2008-04-17 06:59 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll

2008-04-17 06:58 . 2008-04-17 06:58 <REP> d-------- C:\Program Files\Microsoft Works

2008-04-17 06:57 . 2008-04-17 06:59 <REP> d-------- C:\WINDOWS\SHELLNEW

2008-04-17 06:57 . 2008-04-21 22:47 <REP> d-------- C:\Program Files\Microsoft.NET

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-16 08:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype

2008-05-16 08:09 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\skypePM

2008-05-07 15:07 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Media Player Classic

2008-04-22 18:01 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-15 09:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Ahead

2008-04-15 09:50 --------- d-----w C:\Program Files\Unlocker

2008-04-15 07:31 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MusicIP

2008-04-14 14:30 --------- d-----w C:\Program Files\Synaptics

2008-04-14 13:54 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-04-14 13:52 --------- d-----w C:\Program Files\Skype

2008-04-14 13:52 --------- d-----w C:\Program Files\Fichiers communs\Skype

2008-04-14 13:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype

2008-04-14 13:19 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Talkback

2008-04-14 11:27 --------- d-----w C:\Program Files\Sigmatel

2008-04-14 10:32 --------- d-----w C:\Program Files\Dell

2008-04-14 10:31 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-04-14 10:22 --------- d-----w C:\Program Files\CONEXANT

2008-04-14 09:59 --------- d-----w C:\Program Files\FlashFXP

2008-04-14 09:59 --------- d-----w C:\Program Files\DAEMON Tools

2008-04-14 09:59 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Thunderbird

2008-04-14 09:59 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\FlashFXP

2008-04-14 09:58 --------- d-----w C:\Program Files\Real Alternative

2008-04-14 09:58 --------- d-----w C:\Program Files\QuickTime Alternative

2008-04-14 09:58 --------- d-----w C:\Program Files\My Company Name

2008-04-14 09:58 --------- d-----w C:\Program Files\Media Player Classic

2008-04-14 09:58 --------- d-----w C:\Program Files\Combined Community Codec Pack

2008-04-14 09:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-14 09:57 --------- d---a-w C:\Program Files\PuTTY

2008-04-14 09:57 --------- d-----w C:\Program Files\Xtremsplit

2008-04-14 09:57 --------- d-----w C:\Program Files\QuickPar

2008-04-14 09:57 --------- d-----w C:\Program Files\Kristanix

2008-04-14 09:57 --------- d-----w C:\Program Files\CyberLink

2008-04-14 09:56 --------- d-----w C:\Program Files\ElcomSoft

2008-04-14 09:56 --------- d-----w C:\Program Files\Chrono

2008-04-14 09:55 --------- d-----w C:\Program Files\Java

2008-04-14 09:53 --------- d-----w C:\Program Files\Fichiers communs\Java

2008-04-14 09:51 --------- d-----w C:\Program Files\HashTab Shell Extension

2008-04-14 09:50 395,744 ----a-w C:\windows\system32\drivers\timntr.sys

2008-04-14 09:50 39,264 ----a-w C:\windows\system32\drivers\tifsfilt.sys

2008-04-14 09:50 114,048 ----a-w C:\windows\system32\drivers\snapman.sys

2008-04-14 09:50 --------- d-----w C:\Program Files\Lavasoft

2008-04-14 09:50 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-04-14 09:50 --------- d-----w C:\Program Files\Fichiers communs\Acronis

2008-04-14 09:50 --------- d-----w C:\Program Files\Alwil Software

2008-04-14 09:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-04-14 09:49 --------- d-----w C:\Program Files\MSN Messenger

2008-04-14 09:49 --------- d-----w C:\Program Files\Acronis

2008-04-14 09:48 --------- d-----w C:\Program Files\SlySoft

2008-04-14 09:48 --------- d-----w C:\Program Files\Nero

2008-04-14 09:48 --------- d-----w C:\Program Files\Mozilla Thunderbird

2008-04-14 09:48 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2008-04-14 09:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero

2008-04-14 09:47 10,368 ----a-w C:\windows\system32\drivers\pfc.sys

2008-04-14 09:47 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-04-14 09:47 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems

2008-04-14 09:47 --------- d-----w C:\Program Files\ACD Systems

2008-04-14 09:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems

2008-04-14 09:36 685,816 ----a-w C:\windows\system32\drivers\sptd.sys

2008-04-14 09:36 --------- d-----w C:\Program Files\MSXML 4.0

2008-04-14 09:34 --------- d-----w C:\Program Files\Services en ligne

2008-04-14 09:31 --------- d-----w C:\Program Files\Desktop

2008-04-14 09:30 --------- d-----w C:\Program Files\Windows Media Connect 2

.

------- Sigcheck -------

2007-06-26 22:18 360576 c7be59b07c6eb74bea6fd67c1b164015 C:\windows\system32\drivers\tcpip.sys

2004-08-04 06:54 1227264 e28d16a8d63eca6246921fdf7cbde42a C:\windows\explorer.exe

2004-08-04 06:54 1227264 e28d16a8d63eca6246921fdf7cbde42a C:\windows\icon_TMP\explorer.exe

2004-08-04 06:54 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\windows\system_backup\explorer.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\windows\system32\ctfmon.exe" [2004-08-04 06:54 15360]

"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-11-21 04:12 3297280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 23:30 282624 C:\WINDOWS\stsystra.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 09:06 40048]

"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 17:58 1185264]

"AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 18:02 1961576]

"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2006-10-17 11:47 87584]

"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872]

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe\ -lang 1033" [ ]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 18:37 69216]

"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 18:09 94208]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 18:06 77824]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 18:10 114688]

"Dell QuickSet"="C:\Program Files\Dell\QuickSet\quickset.exe" [2005-08-01 16:00 610304]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-24 14:36 729178]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:54 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="regsvr32 /s /n /i:U shell32" []

"nltide_3"="advpack.dll" [2007-06-26 22:18 124928 C:\WINDOWS\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"ForceStartMenuLogoff"= 0 (0x0)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)

"NoInstrumentation"= 1 (0x1)

"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"StartMenuLogoff"= 1 (0x1)

"ForceStartMenuLogoff"= 0 (0x0)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)

"NoInstrumentation"= 1 (0x1)

"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ACDV"= ACDV.dll

"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

"vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

C:\windows\system32\amvo.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ooVoo.exe]

--a------ 2008-03-30 11:53 12416816 C:\Program Files\ooVoo\ooVoo.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"NICCONFIGSVC"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\FlashFXP\\FlashFXP.exe"=

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=

"C:\\Program Files\\ooVoo\\ooVoo.exe"=

"C:\\Program Files\\Microsoft SQL Server\\90\\Tools\\Binn\\VSShell\\Common7\\IDE\\SqlWb.exe"=

"C:\\Program Files\\Microsoft Visual Studio 8\\Common7\\IDE\\devenv.exe"=

"C:\\Program Files\\Microsoft SQL Server\\90\\Shared\\SqlSAC.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"443:TCP"= 443:TCP:TCP port 443 ooVoo

"443:UDP"= 443:UDP:UDP port 443 ooVoo

"37674:TCP"= 37674:TCP:TCP port 37674 ooVoo

"37674:UDP"= 37674:UDP:UDP port 37674 ooVoo

"37675:UDP"= 37675:UDP:UDP port 37675 ooVoo

R1 aswSP;avast! Self Protection;C:\windows\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51]

R2 aswFsBlk;aswFsBlk;C:\windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R2 MsDtsServer;SQL Server Integration Services;"C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe" [2005-10-14 03:45]

S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 03:53]

S3 USBSTOR;Pilote de stockage de masse USB;C:\windows\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;"C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e2117e0-0d6d-11dd-82fa-0015c574ac0d}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e2117e1-0d6d-11dd-82fa-0015c574ac0d}]

\Shell\AutoRun\command - H:\jfvkcsy.bat

\Shell\explore\Command - H:\jfvkcsy.bat

\Shell\open\Command - H:\jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82b606b4-1ec3-11dd-8347-0015c574ac0d}]

\Shell\AutoRun\command - G:\jfvkcsy.bat

\Shell\explore\Command - G:\jfvkcsy.bat

\Shell\open\Command - G:\jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9af9a80-219d-11dd-8353-0015c574ac0d}]

\Shell\AutoRun\command - G:\pa39xth.cmd

\Shell\explore\Command - G:\pa39xth.cmd

\Shell\open\Command - G:\pa39xth.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e920b899-0fde-11dd-8305-0015c574ac0d}]

\Shell\AutoRun\command - G:\pa39xth.cmd

\Shell\explore\Command - G:\pa39xth.cmd

\Shell\open\Command - G:\pa39xth.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7ae7694-21df-11dd-8355-0015c574ac0d}]

\Shell\AutoRun\command - G:\pa39xth.cmd

\Shell\explore\Command - G:\pa39xth.cmd

\Shell\open\Command - G:\pa39xth.cmd

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-16 12:09:36

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql]

"ImagePath"="\"C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\msftesql.exe\" -s:MSSQL.3 -f:MSSQLSERVER"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]

"ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\000.fcl"

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\windows\explorer.exe

-> C:\Program Files\Unlocker\UnlockerHook.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe

C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe

C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\msftesql.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\verclsid.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-16 12:13:06 - machine was rebooted [Administrateur]

ComboFix-quarantined-files.txt 2008-05-16 10:12:59

ComboFix2.txt 2008-05-05 10:05:05

Pre-Run: 13,400,506,368 octets libres

Post-Run: 13,393,072,128 octets libres

323

pear · le 16 mai 2008

J'ai télécharger ComboFix, et j'ai suivi vos étapes
voici ce qe j'ai obtenu comme résutat

pouvez vous me dire ce qe je dois faire mnt

Merci d'avance

ComboFix 08-05-15.2 - Administrateur 2008-05-16 12:05:43.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.181 [GMT 2:00]

Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Administrateur\Bureau\WinXP_FR_PRO_BF.EXE

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\windows\system32\Cache

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-16 to 2008-05-16 ))))))))))))))))))))))))))))))))))))

.

2008-05-16 11:05 . 2008-05-16 11:05 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG

2008-05-11 11:00 . 2008-05-11 11:00 <REP> d-------- C:\Program Files\IcoFX 1.6

2008-05-11 11:00 . 2008-05-11 11:31 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\IcoFX

2008-05-08 23:35 . 2008-05-08 23:35 <REP> d-------- C:\WINDOWS\IIS Temporary Compressed Files

2008-05-08 23:34 . 2001-08-23 17:47 43,520 --a------ C:\WINDOWS\system32\fcachdll.dll

2008-05-08 23:34 . 2001-08-23 15:46 24,340 --a------ C:\WINDOWS\system32\smtpctrs.ini

2008-05-08 23:34 . 2001-08-23 17:47 23,040 --a------ C:\WINDOWS\system32\regtrace.exe

2008-05-08 23:34 . 2001-08-23 17:47 12,800 --a------ C:\WINDOWS\system32\smtpctrs.dll

2008-05-08 23:34 . 2001-07-21 22:23 8,002 --a------ C:\WINDOWS\system32\smtpctrs.h

2008-05-08 23:34 . 2001-08-23 17:47 7,168 --a------ C:\WINDOWS\system32\snprfdll.dll

2008-05-08 23:34 . 2001-08-23 17:46 5,632 --a------ C:\WINDOWS\system32\adsiisex.dll

2008-05-08 23:34 . 2001-08-23 15:46 1,106 --a------ C:\WINDOWS\system32\ntfsdrct.ini

2008-05-08 23:34 . 2001-07-21 22:23 773 --a------ C:\WINDOWS\system32\ntfsdrct.h

2008-05-08 23:32 . 2008-05-12 23:06 <REP> d-------- C:\WINDOWS\system32\Logfiles

2008-05-08 23:32 . 2008-05-08 23:35 <REP> d-------- C:\Inetpub

2008-05-06 14:33 . 2008-05-06 14:33 <REP> d-------- C:\Program Files\SQLXML 4.0

2008-05-06 14:08 . 2008-05-06 14:08 <REP> d-------- C:\Program Files\Microsoft Analysis Services

2008-05-05 12:09 . 1998-10-07 13:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe

2008-05-05 12:09 . 2008-05-05 12:13 1,888 --a------ C:\WINDOWS\sql.mif

2008-05-05 12:09 . 2008-05-05 12:13 128 --a------ C:\WINDOWS\setup.iss

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\WINDOWS\system32\xircom

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\WINDOWS\system32\oobe

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\WINDOWS\srchasst

2008-05-05 12:01 . 2008-05-05 12:01 <REP> d-------- C:\Program Files\microsoft frontpage

2008-05-04 20:57 . 2004-08-04 00:54 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2008-05-04 20:57 . 2004-08-04 00:45 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2008-05-04 20:57 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys

2008-05-04 20:56 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-05-04 20:56 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

2008-05-02 00:40 . 2008-05-02 00:40 <REP> d-------- C:\Program Files\Nevron

2008-04-30 20:53 . 2008-05-16 01:24 2,528 --a------ C:\WINDOWS\system32\settings.aaw

2008-04-30 20:53 . 2008-05-16 01:24 720 --a------ C:\WINDOWS\system32\history.aaw

2008-04-29 12:41 . 2008-04-29 12:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\ACD Systems

2008-04-27 23:29 . 2008-04-27 23:29 <REP> d-------- C:\Program Files\Winamp

2008-04-27 23:29 . 2008-04-28 00:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Winamp

2008-04-22 20:01 . 2008-04-22 20:01 <REP> d-------- C:\Program Files\ooVoo

2008-04-22 19:50 . 2008-04-22 19:53 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\ooVoo Details

2008-04-22 12:48 . 2008-04-22 12:50 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-04-22 12:42 . 2008-04-22 12:42 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Samsung

2008-04-22 12:41 . 2008-04-22 12:40 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys

2008-04-22 12:11 . 2008-04-22 12:11 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers

2008-04-22 12:11 . 2008-04-22 12:11 <REP> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs

2008-04-22 12:11 . 2005-08-30 01:49 94,000 --a------ C:\WINDOWS\system32\drivers\ssm_mdm.sys

2008-04-22 12:11 . 2005-08-30 01:47 58,320 --a------ C:\WINDOWS\system32\drivers\ssm_bus.sys

2008-04-22 12:11 . 2005-08-30 01:49 8,336 --a------ C:\WINDOWS\system32\drivers\ssm_mdfl.sys

2008-04-22 12:11 . 2005-08-30 01:49 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cmnt.sys

2008-04-22 12:11 . 2005-08-30 01:49 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cm.sys

2008-04-22 12:11 . 2005-08-30 01:47 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_whnt.sys

2008-04-22 12:11 . 2005-08-30 01:47 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_wh.sys

2008-04-22 12:11 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-04-22 12:10 . 2008-04-22 12:10 <REP> d-------- C:\Program Files\Samsung

2008-04-21 22:45 . 2008-05-10 21:46 <REP> d-------- C:\Program Files\Microsoft SQL Server

2008-04-21 22:43 . 2008-04-21 22:43 <REP> d-------- C:\Program Files\Microsoft SQL Server 2005 Mobile Edition

2008-04-21 22:43 . 2008-04-21 22:43 <REP> d-------- C:\Program Files\Microsoft Device Emulator

2008-04-21 22:33 . 2008-04-21 22:33 <REP> d-------- C:\Program Files\MSBuild

2008-04-21 22:19 . 2008-04-21 22:19 <REP> d-------- C:\WINDOWS\Symbols

2008-04-21 22:19 . 2008-04-21 22:32 <REP> d-------- C:\Program Files\HTML Help Workshop

2008-04-21 22:19 . 2008-04-21 22:30 <REP> d-------- C:\Program Files\Fichiers communs\Merge Modules

2008-04-21 22:19 . 2008-04-21 22:21 <REP> d-------- C:\Program Files\Fichiers communs\Business Objects

2008-04-21 22:19 . 2008-04-21 22:19 <REP> d-------- C:\Program Files\CE Remote Tools

2008-04-21 22:19 . 2008-04-21 22:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PreEmptive Solutions

2008-04-21 22:16 . 2008-04-21 22:33 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8

2008-04-21 22:16 . 2008-05-10 21:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-04-20 10:37 . 2008-04-20 10:37 <REP> d-------- C:\Program Files\Kap.TOEFL

2008-04-20 00:16 . 2008-04-20 00:16 <REP> d--h----- C:\BJPrinter

2008-04-18 19:30 . 2008-05-04 23:10 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\U3

2008-04-17 18:37 . 2004-08-03 23:10 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys

2008-04-17 18:37 . 2004-08-03 23:10 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS

2008-04-17 18:37 . 2004-08-04 00:55 16,384 --a------ C:\WINDOWS\system32\ipsink.ax

2008-04-17 18:37 . 2004-08-03 23:10 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys

2008-04-17 18:37 . 2004-08-03 23:10 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys

2008-04-17 18:37 . 2004-08-03 23:10 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys

2008-04-17 18:37 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys

2008-04-17 18:17 . 2008-04-17 18:17 <REP> d-------- C:\Program Files\Google

2008-04-17 10:46 . 2008-04-17 10:46 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

2008-04-17 08:28 . 2008-04-30 21:48 <REP> d-------- C:\Documents and Settings\Administrateur\Contacts

2008-04-17 07:00 . 2008-04-21 22:36 530 --a------ C:\WINDOWS\ODBC.INI

2008-04-17 06:59 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll

2008-04-17 06:58 . 2008-04-17 06:58 <REP> d-------- C:\Program Files\Microsoft Works

2008-04-17 06:57 . 2008-04-17 06:59 <REP> d-------- C:\WINDOWS\SHELLNEW

2008-04-17 06:57 . 2008-04-21 22:47 <REP> d-------- C:\Program Files\Microsoft.NET

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-16 08:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype

2008-05-16 08:09 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\skypePM

2008-05-07 15:07 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Media Player Classic

2008-04-22 18:01 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-15 09:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Ahead

2008-04-15 09:50 --------- d-----w C:\Program Files\Unlocker

2008-04-15 07:31 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MusicIP

2008-04-14 14:30 --------- d-----w C:\Program Files\Synaptics

2008-04-14 13:54 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-04-14 13:52 --------- d-----w C:\Program Files\Skype

2008-04-14 13:52 --------- d-----w C:\Program Files\Fichiers communs\Skype

2008-04-14 13:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype

2008-04-14 13:19 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Talkback

2008-04-14 11:27 --------- d-----w C:\Program Files\Sigmatel

2008-04-14 10:32 --------- d-----w C:\Program Files\Dell

2008-04-14 10:31 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-04-14 10:22 --------- d-----w C:\Program Files\CONEXANT

2008-04-14 09:59 --------- d-----w C:\Program Files\FlashFXP

2008-04-14 09:59 --------- d-----w C:\Program Files\DAEMON Tools

2008-04-14 09:59 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Thunderbird

2008-04-14 09:59 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\FlashFXP

2008-04-14 09:58 --------- d-----w C:\Program Files\Real Alternative

2008-04-14 09:58 --------- d-----w C:\Program Files\QuickTime Alternative

2008-04-14 09:58 --------- d-----w C:\Program Files\My Company Name

2008-04-14 09:58 --------- d-----w C:\Program Files\Media Player Classic

2008-04-14 09:58 --------- d-----w C:\Program Files\Combined Community Codec Pack

2008-04-14 09:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-14 09:57 --------- d---a-w C:\Program Files\PuTTY

2008-04-14 09:57 --------- d-----w C:\Program Files\Xtremsplit

2008-04-14 09:57 --------- d-----w C:\Program Files\QuickPar

2008-04-14 09:57 --------- d-----w C:\Program Files\Kristanix

2008-04-14 09:57 --------- d-----w C:\Program Files\CyberLink

2008-04-14 09:56 --------- d-----w C:\Program Files\ElcomSoft

2008-04-14 09:56 --------- d-----w C:\Program Files\Chrono

2008-04-14 09:55 --------- d-----w C:\Program Files\Java

2008-04-14 09:53 --------- d-----w C:\Program Files\Fichiers communs\Java

2008-04-14 09:51 --------- d-----w C:\Program Files\HashTab Shell Extension

2008-04-14 09:50 395,744 ----a-w C:\windows\system32\drivers\timntr.sys

2008-04-14 09:50 39,264 ----a-w C:\windows\system32\drivers\tifsfilt.sys

2008-04-14 09:50 114,048 ----a-w C:\windows\system32\drivers\snapman.sys

2008-04-14 09:50 --------- d-----w C:\Program Files\Lavasoft

2008-04-14 09:50 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-04-14 09:50 --------- d-----w C:\Program Files\Fichiers communs\Acronis

2008-04-14 09:50 --------- d-----w C:\Program Files\Alwil Software

2008-04-14 09:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-04-14 09:49 --------- d-----w C:\Program Files\MSN Messenger

2008-04-14 09:49 --------- d-----w C:\Program Files\Acronis

2008-04-14 09:48 --------- d-----w C:\Program Files\SlySoft

2008-04-14 09:48 --------- d-----w C:\Program Files\Nero

2008-04-14 09:48 --------- d-----w C:\Program Files\Mozilla Thunderbird

2008-04-14 09:48 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2008-04-14 09:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero

2008-04-14 09:47 10,368 ----a-w C:\windows\system32\drivers\pfc.sys

2008-04-14 09:47 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-04-14 09:47 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems

2008-04-14 09:47 --------- d-----w C:\Program Files\ACD Systems

2008-04-14 09:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems

2008-04-14 09:36 685,816 ----a-w C:\windows\system32\drivers\sptd.sys

2008-04-14 09:36 --------- d-----w C:\Program Files\MSXML 4.0

2008-04-14 09:34 --------- d-----w C:\Program Files\Services en ligne

2008-04-14 09:31 --------- d-----w C:\Program Files\Desktop

2008-04-14 09:30 --------- d-----w C:\Program Files\Windows Media Connect 2

.

------- Sigcheck -------

2007-06-26 22:18 360576 c7be59b07c6eb74bea6fd67c1b164015 C:\windows\system32\drivers\tcpip.sys

2004-08-04 06:54 1227264 e28d16a8d63eca6246921fdf7cbde42a C:\windows\explorer.exe

2004-08-04 06:54 1227264 e28d16a8d63eca6246921fdf7cbde42a C:\windows\icon_TMP\explorer.exe

2004-08-04 06:54 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\windows\system_backup\explorer.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\windows\system32\ctfmon.exe" [2004-08-04 06:54 15360]

"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-11-21 04:12 3297280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 23:30 282624 C:\WINDOWS\stsystra.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 09:06 40048]

"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-18 17:58 1185264]

"AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-18 18:02 1961576]

"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2006-10-17 11:47 87584]

"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872]

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe\ -lang 1033" [ ]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 18:37 69216]

"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 18:09 94208]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 18:06 77824]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 18:10 114688]

"Dell QuickSet"="C:\Program Files\Dell\QuickSet\quickset.exe" [2005-08-01 16:00 610304]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-24 14:36 729178]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:54 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="regsvr32 /s /n /i:U shell32" []

"nltide_3"="advpack.dll" [2007-06-26 22:18 124928 C:\WINDOWS\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"ForceStartMenuLogoff"= 0 (0x0)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)

"NoInstrumentation"= 1 (0x1)

"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"StartMenuLogoff"= 1 (0x1)

"ForceStartMenuLogoff"= 0 (0x0)

"NoResolveTrack"= 1 (0x1)

"NoResolveSearch"= 1 (0x1)

"NoInstrumentation"= 1 (0x1)

"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ACDV"= ACDV.dll

"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

"vidc.wmv3"= C:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

C:\windows\system32\amvo.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ooVoo.exe]

--a------ 2008-03-30 11:53 12416816 C:\Program Files\ooVoo\ooVoo.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"NICCONFIGSVC"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\FlashFXP\\FlashFXP.exe"=

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=

"C:\\Program Files\\ooVoo\\ooVoo.exe"=

"C:\\Program Files\\Microsoft SQL Server\\90\\Tools\\Binn\\VSShell\\Common7\\IDE\\SqlWb.exe"=

"C:\\Program Files\\Microsoft Visual Studio 8\\Common7\\IDE\\devenv.exe"=

"C:\\Program Files\\Microsoft SQL Server\\90\\Shared\\SqlSAC.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"443:TCP"= 443:TCP:TCP port 443 ooVoo

"443:UDP"= 443:UDP:UDP port 443 ooVoo

"37674:TCP"= 37674:TCP:TCP port 37674 ooVoo

"37674:UDP"= 37674:UDP:UDP port 37674 ooVoo

"37675:UDP"= 37675:UDP:UDP port 37675 ooVoo

R1 aswSP;avast! Self Protection;C:\windows\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51]

R2 aswFsBlk;aswFsBlk;C:\windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R2 MsDtsServer;SQL Server Integration Services;"C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe" [2005-10-14 03:45]

S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2005-10-14 03:53]

S3 USBSTOR;Pilote de stockage de masse USB;C:\windows\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;"C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e2117e0-0d6d-11dd-82fa-0015c574ac0d}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e2117e1-0d6d-11dd-82fa-0015c574ac0d}]

\Shell\AutoRun\command - H:\jfvkcsy.bat

\Shell\explore\Command - H:\jfvkcsy.bat

\Shell\open\Command - H:\jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82b606b4-1ec3-11dd-8347-0015c574ac0d}]

\Shell\AutoRun\command - G:\jfvkcsy.bat

\Shell\explore\Command - G:\jfvkcsy.bat

\Shell\open\Command - G:\jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9af9a80-219d-11dd-8353-0015c574ac0d}]

\Shell\AutoRun\command - G:\pa39xth.cmd

\Shell\explore\Command - G:\pa39xth.cmd

\Shell\open\Command - G:\pa39xth.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e920b899-0fde-11dd-8305-0015c574ac0d}]

\Shell\AutoRun\command - G:\pa39xth.cmd

\Shell\explore\Command - G:\pa39xth.cmd

\Shell\open\Command - G:\pa39xth.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7ae7694-21df-11dd-8355-0015c574ac0d}]

\Shell\AutoRun\command - G:\pa39xth.cmd

\Shell\explore\Command - G:\pa39xth.cmd

\Shell\open\Command - G:\pa39xth.cmd

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-16 12:09:36

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql]

"ImagePath"="\"C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\msftesql.exe\" -s:MSSQL.3 -f:MSSQLSERVER"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]

"ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\000.fcl"

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\windows\explorer.exe

-> C:\Program Files\Unlocker\UnlockerHook.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe

C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe

C:\Program Files\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\msftesql.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\verclsid.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-16 12:13:06 - machine was rebooted [Administrateur]

ComboFix-quarantined-files.txt 2008-05-16 10:12:59

ComboFix2.txt 2008-05-05 10:05:05

Pre-Run: 13,400,506,368 octets libres

Post-Run: 13,393,072,128 octets libres

323

Ouvrez votre propre sujet , svp,

Ce n'est qu'à cette condition que vous aurez réponse.

Connexion

Pas encore inscrit ?

Infection par le virus Win32:Beagle-AAW[Trj]

Messages recommandés

ephese

facks

pear

ephese

pear

Maropower

pear

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer