Boo/sinowal.a : virus, trojan ?

Thanos · le 22 juin 2008

salut

Ne t'excuse pas! c'est moi qui ait tardé à te répondre en premier lieu!

Voici la suite des manipulations >>

Passe par le menu Démarrer > Exécuter et copie/colle cette commande : "%userprofile%\Bureau\mbr" -f
(si tu recopies la commande manuellement, n'oublie surtout pas les guillemets)
dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
Supprime le fichier mbr.log
Relance mbr.exe et poste le rapport mbr.log qui apparait.

Après ca, ca devrait aller mieux

Poste ce rapport ensuite stp >>

Télécharge Deckard's System Scanner (DSS) sur ton bureau.

Tu dois possèder les droits administrateurs pour le lancer.

Ferme toutes les applications en cours (fenêtres internet etc...)
Double-clique sur dss.exe pour lancer le programme.
DSS va afficher un message et te proposer d'installer Hijackthis: clique sur OUI.
Un nouveau message va te demander de t'assurer que ton pare-feu (si tu en as un) accepte bien la connexion de DSS.exe à internet: clique sur OK et donne lui l'accès si tu reçois une alerte de ton pare-feu.
Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir.
Poste le contenu du rapport nommé main.txt
Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner

Que fait DSS ? >

Il créé un point de restauration pour Windows Xp et Vista.
Il nettoie les fichiers temporaires, le contenu du dossier Downloaded Program Files, le cache internet,et vide aussi la corbeille sur tous les lecteurs.
Il contrôle quelques points névralgiques du système et produit un rapport à soumettre à un analyste.
DSS lance automatiquement HijackThis,si tu ne possèdes pas ce programme, il va l'installer et créer un raccourci sur le bureau.

Poste les deux rapports stp.

Modifié le 23 juin 2008 par Thanos

Dju188 · le 22 juin 2008

argh,

sa devait arriver, premier problem quand je fais la manip avec la commmande pour ajouter la ligne dans le mbr.log, ca ne marche pas, aucune ligne ne s'ajoute.

jte remt un nouveau rapport de mbr

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x1314ffd8 size 0x1e4 !

copy of MBR has been found in sector 62 !

--------------------------------------------------------------------------------------------------------------------------------

jte poste le rapport de dds:

Deckard's System Scanner v20071014.68

Run by Julien on 2008-06-22 16:59:21

Computer is in Normal Mode.

--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --

63: 2008-06-22 14:59:28 UTC - RP236 - Deckard's System Scanner Restore Point

62: 2008-06-22 09:40:11 UTC - RP235 - Installed Mega Manager

61: 2008-06-21 19:42:25 UTC - RP234 - Point de vérification système

60: 2008-06-20 17:40:47 UTC - RP233 - Point de vérification système

59: 2008-06-18 17:58:21 UTC - RP232 - Point de vérification système

-- First Restore Point --

1: 2008-04-03 11:26:25 UTC - RP174 - Point de vérification système

Backed up registry hives.

Performed disk cleanup.

-- HijackThis (run as Julien.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:00:25, on 22/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\imapi.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\program files\powerstrip\pstrip.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Documents and Settings\Julien\Bureau\dss.exe

C:\DOCUME~1\Julien\Bureau\Julien.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.nl/scanforvirus-en/ka...can_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1206557495462

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) -

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) -

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

--

End of file - 8660 bytes

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 sf (SFI Service) - c:\windows\system32\drivers\sf.sys <Not Verified; Sonic Focus, Inc; Sonic Focus DSP service driver>

R3 aeaudio - c:\windows\system32\drivers\aeaudio.sys <Not Verified; Andrea Electronics Corporation; Andrea Audio Driver>

R3 mbr - c:\docume~1\julien\locals~1\temp\mbr.sys (file missing)

R3 smwdm - c:\windows\system32\drivers\smwdm.sys <Not Verified; Analog Devices, Inc.; SoundMAX Digital Audio Driver>

S3 catchme - c:\docume~1\julien\locals~1\temp\catchme.sys (file missing)

S3 lac97inf - c:\docume~1\julien\locals~1\temp\lac97inf.sys (file missing)

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AdobeActiveFileMonitor (Adobe Active File Monitor) - c:\program files\adobe\photoshop elements 3.0\photoshopelementsfileagent.exe

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

R2 PhotoshopElementsDeviceConnect (Photoshop Elements Device Connect) - c:\program files\adobe\photoshop elements 3.0\photoshopelementsdeviceconnect.exe

R2 StarWindServiceAE (StarWind AE Service) - c:\program files\alcohol soft\alcohol 52\starwind\starwindserviceae.exe <Not Verified; Rocket Division Software; StarWind Alcohol Edition>

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Hamachi Network Interface

Device ID: ROOT\NET\0000

Manufacturer: LogMeIn, Inc.

Name: Hamachi Network Interface

PNP Device ID: ROOT\NET\0000

Service: hamachi

-- Files created between 2008-05-22 and 2008-06-22 -----------------------------

2008-06-22 11:40:47 0 d-------- C:\Documents and Settings\Julien\Application Data\Megaupload

2008-06-22 11:40:12 0 d-------- C:\Program Files\Megaupload

2008-06-15 12:03:21 0 d-------- C:\Documents and Settings\julien 1\Application Data\teamspeak2

2008-06-15 11:08:23 0 d-------- C:\Documents and Settings\julien 1\Application Data\WinRAR

2008-06-15 11:08:16 0 d-------- C:\Documents and Settings\julien 1\Application Data\Identities

2008-06-15 11:08:15 0 d--h----- C:\Documents and Settings\julien 1\Voisinage d'impression

2008-06-15 11:08:15 0 dr-h----- C:\Documents and Settings\julien 1\SendTo

2008-06-15 11:08:15 0 dr-h----- C:\Documents and Settings\julien 1\Recent

2008-06-15 11:08:15 0 dr------- C:\Documents and Settings\julien 1\Menu Démarrer

2008-06-15 11:08:13 0 d-------- C:\Documents and Settings\Administrateur\Bureau

2008-06-15 11:08:12 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-06-15 11:08:12 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo

2008-06-15 11:08:12 0 d--h----- C:\Documents and Settings\Administrateur\Recent

2008-06-15 11:08:12 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2008-06-15 09:50:26 0 d-------- C:\Program Files\Fichiers communs\Autodesk Shared

2008-06-12 22:05:30 5541888 --a------ C:\Documents and Settings\Julien\ntuser.dat

2008-06-06 22:21:55 0 d---s---- C:\Documents and Settings\julien 1\UserData

2008-06-06 21:58:16 0 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-06-06 21:58:14 0 d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-06-06 21:57:40 0 d-------- C:\Documents and Settings\julien 1\Application Data\Macromedia

2008-06-06 21:57:40 0 d-------- C:\Documents and Settings\julien 1\Application Data\Adobe

2008-06-06 21:56:53 0 d-------- C:\Documents and Settings\julien 1\Application Data\MEGAUPLOADTOOLBAR

2008-06-06 21:54:03 0 d-------- C:\Documents and Settings\julien 1\Application Data\Mozilla

2008-06-06 21:52:28 0 d--h----- C:\Documents and Settings\julien 1\Modèles

2008-06-06 21:52:28 0 d--h----- C:\Documents and Settings\julien 1\Local Settings

2008-06-06 21:52:28 0 d-------- C:\Documents and Settings\julien 1\Favoris

2008-06-06 21:52:28 0 d---s---- C:\Documents and Settings\julien 1\Cookies

2008-06-06 21:52:28 0 d-------- C:\Documents and Settings\julien 1\Bureau

2008-06-06 21:52:28 0 dr-h----- C:\Documents and Settings\julien 1\Application Data

2008-06-06 21:52:28 0 d---s---- C:\Documents and Settings\julien 1\Application Data\Microsoft

2008-06-06 21:52:27 2097152 --ah----- C:\Documents and Settings\julien 1\ntuser.dat

2008-06-06 21:30:11 1835008 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat

2008-06-06 21:30:11 0 d--h----- C:\Documents and Settings\Administrateur\Modèles

2008-06-06 21:30:11 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings

2008-06-06 21:30:11 0 d-------- C:\Documents and Settings\Administrateur\Cookies

2008-06-06 21:30:11 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data

2008-06-06 21:30:11 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft

2008-06-05 16:44:01 0 d-------- C:\Documents and Settings\Julien\Application Data\Hamachi

2008-06-05 16:43:33 0 d-------- C:\Program Files\Hamachi

2008-06-04 15:02:58 0 d--h----- C:\Program Files\InstallJammer Registry

2008-06-03 18:50:16 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll

-- Find3M Report ---------------------------------------------------------------

2008-06-22 16:58:58 0 d-------- C:\Documents and Settings\Julien\Application Data\Azureus

2008-06-22 16:58:54 0 d-------- C:\Documents and Settings\Julien\Application Data\Xfire

2008-06-22 16:54:09 0 d-------- C:\Program Files\Xfire

2008-06-22 11:40:30 0 d-------- C:\Program Files\MegauploadToolbar

2008-06-22 11:40:11 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-06-21 01:48:35 0 d-------- C:\Documents and Settings\Julien\Application Data\teamspeak2

2008-06-15 11:09:30 0 d-------- C:\Program Files\World of Warcraft

2008-06-15 11:06:18 0 d-------- C:\Program Files\Registry Easy

2008-06-15 11:06:13 0 d-------- C:\Program Files\Square Soft, Inc

2008-06-06 21:20:44 0 d-------- C:\Documents and Settings\Julien\Application Data\MegauploadToolbar

2008-05-31 17:43:04 0 d-------- C:\Program Files\Fichiers communs

2008-05-28 19:50:28 0 d-------- C:\Program Files\Game Cam V2

2008-05-03 22:03:00 0 d-------- C:\Program Files\Sports Interactive

2008-05-03 20:50:25 0 d--h----- C:\Program Files\Zero G Registry

2008-04-26 17:28:10 0 d-------- C:\Program Files\Creative Labs

2008-04-05 00:53:18 81984 --a------ C:\WINDOWS\system32\bdod.bin

2008-04-03 10:47:05 1163344 --a------ C:\WINDOWS\vsapi32.dll <Not Verified; Trend Micro Inc.; VSAPI>

2008-04-03 10:47:05 71749 --a------ C:\WINDOWS\hcextoutput.dll

2008-04-03 10:47:04 86094 --a------ C:\WINDOWS\BPMNT.dll <Not Verified; Trend Micro Inc.; VSAPI>

2008-04-03 10:45:34 507904 --a------ C:\WINDOWS\TMUPDATE.DLL <Not Verified; Trend Micro Inc.; ActiveUpdate Module>

2008-04-03 10:45:33 69689 --a------ C:\WINDOWS\UNZIP.DLL <Not Verified; Trend Micro Inc.; Trend Active Update 1.32>

2008-04-03 10:45:33 286720 --a------ C:\WINDOWS\PATCH.EXE <Not Verified; Trend Micro Inc.; ActiveUpdate Module>

2008-03-31 01:41:33 458560 --a------ C:\WINDOWS\system32\perfh00C.dat

2008-03-31 01:41:33 71452 --a------ C:\WINDOWS\system32\perfc00C.dat

2008-03-26 18:59:21 1287 --a------ C:\WINDOWS\mozver.dat

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [27/07/2004 13:48]

"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [06/08/2004 08:27]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 23:16]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [11/12/2007 11:56]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [22/10/2006 12:22]

"nwiz"="nwiz.exe" [22/10/2006 12:22 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [22/10/2006 12:22]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [20/04/2008 18:08]

"PowerStrip"="c:\program files\powerstrip\pstrip.exe" [03/02/2008 01:34]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [13/10/2004 18:24]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [18/10/2007 11:34]

"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" [22/12/2007 09:09]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [28/01/2008 11:43]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]

"C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

"C:\Program Files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{652f1ef8-d432-11dc-b00f-00111110690d}]

AutoRun\command- E:\autoplay.exe

-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

8751 more entries in hosts file.

-- End of Deckard's System Scanner: finished at 2008-06-22 17:01:03 ------------

Merci de ton aide futur,

Cordialement Julien

Thanos · le 22 juin 2008

re!

sa devait arriver, premier problem quand je fais la manip avec la commmande pour ajouter la ligne dans le mbr.log, ca ne marche pas, aucune ligne ne s'ajoute.

Attention!: il faut absolument que le fichier mbr.exe soit sur ton Bureau et pas ailleurs!

Elimine le fichier mbr.log

Passe par Démarrer > Exécuter et tape cmd puis valide en appuyant sur la touche [Entrée].

Une fenêtre noire s'ouvre (l'invite de commandes).

Copie/colle la commande de nouveau >>

"%userprofile%\Bureau\mbr" -f

Valide ensuite en cliquant sur la touche [Entrée]

Supprime de nouveau le fichier mbr.log

Relance mbr.exe et poste le rapport mbr.log qui apparait.

Si ca ne fonctionne pas comme ca, on fera autrement

Dju188 · le 22 juin 2008

mon fichier mbr.log est bien sur mon bureau:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x1314ffd8 size 0x1e4 !

copy of MBR has been found in sector 62 !

Thanos · le 22 juin 2008

re!

Ok, ca ne semble pas fonctionner! est ce que tu possèdes le cd de Windows ?

Si c'est le cas, commence par installer la Console de Récupération comme indiqué ici >>

http://www.zebulon.fr/dossiers/61-2-instal...ion-disque.html

Dis moi lorsque tu as fait cette étape.

Edit: si tu n'as pas le cd de Windows, on fera autrement.

Modifié le 22 juin 2008 par Thanos

Dju188 · le 22 juin 2008

désolé mais je n'ai pas le cd de windows, j'ai acheter cet ordi a un pote y'a mtn 4 ans, et il ne m'a jamais donné de cd de windows .

C'est grave?

Julien

EDIT 1: mais un cd de windows, c'est un cd par ordinateur?, par ce que mes parents ont une société a la maison, ils ont chacun un ordi, aussi ils ont surement un cd de windows, je pourrais l'utiliser?

Modifié le 22 juin 2008 par Dju188

Thanos · le 22 juin 2008

Ne te tracasse pas: on va procéder autrement afin d'installer la Console sur ton pc.

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

Je te conseille d'imprimer les infos qui suivent car tu n'auras plus accès à Windows lors de l'utilisation de la console de Récupération.

1°) Attention!!: ComboFix et Antivir entrent en conflit.

Pour pouvoir télécharger ComboFix, il faut que tu désactives le bouclier d'Antivir.

Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable> réactive le en fin de manipluations.

2°) Télécharge combofix.exe de sUBs sur le Bureau mais ne double-clique pas dessus.

3°) Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système et ca te servira par la suite.

Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau.

Ne modifie pas le nom du fichier surtout!

Windows XP Service Pack 2 (SP2) >

Microsoft Windows XP Édition familiale SP2

Microsoft Windows XP Professionnel SP2

4°) Utilisation de ComboFix et installation de la Console de Récupération >>

Fait un glisser/déposer du fichier winxpsp2_fr (que tu as téléchargé sur le bureau) sur le fichier ComboFix.exe comme sur la capture >
Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Clique sur Oui au message de Limitation de Garantie qui s'affiche.
Clique ensuite sur le bouton No pour quitter le programme.
Une autre fenêtre s'ouvre "A log shall be produced..." > clique sur OK > un fichier texte nommé CF_RC.txt va s'ouvrir: poste son contenu.

Note:

-A présent, tu auras un choix à faire au démarrage de ton pc : soit démarrer Windows normalement, soit lancer la Console.

5°) Utilisation de la Console de Récupération >>

a) Redémarre ton pc, un choix va s'afficher rapidement:

- Démarrer Windows normalement.

- Lancer la Console de Récupération.

Choisis la seconde option. Si tu n'a pas choisis assez vite, Windows va démarrer: il te faudra rebooter le pc et recommencer!

Comment démarrer la Console une fois l'option sélectionnée ? >>reporte toi aux indications fournies sur cette page<<

b) Répare le MBR >>utilise la commande fixmbr comme indiqué<<

6°) Le pc a redémarré:

Supprime de nouveau le fichier mbr.log

Relance mbr.exe et poste le rapport mbr.log qui apparait.

7°) Un scan en ligne pour terminer >>

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

Fais un scan en ligne Kaspersky
Clique sur Accept
Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
clique une nouvelle fois sur "Accept"
Les bases de mises à jour vont s'installer, patiente un moment
Clique sur Next.
Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse sur le forum.

Aide en cas de problème :Cybersécurité

NOTE: Le scan est à faire avec Internet Explorer.

Courage!! la manipulation avec la Console devrait te débarrasser de l'infection.

Poste les rapports suivants >>

- le rapport CF_RC.txt

- le rapport de mbr.exe

- le rapport du scan en ligne.

Modifié le 22 juin 2008 par Thanos

Dju188 · le 23 juin 2008

Bonjour, tt c'est deroulé comme prevu, par contre j'ai un probleme, ce matin je lance mon ordi, (la manipulation a été fait cette nuit etle scan en ligne aussi) et Antivir commence a faire un scan a l'improviste comme sa lui arrive parfois, la il me detecte de nouveau le virus BOO/sinowal.a dans le sector boot alors que lors de l'analyse en ligne, le scan n'a detecté aucun malware,

enfin bref voici les differents rapport que vous m'aviez demandé

LE SCAN CR_RC.txt

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

LE SCAN DE MBR.exe

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

malicious code @ sector 0x1314ffd8 size 0x1e4 !

copy of MBR has been found in sector 62 !

ENFIN LE SCAN EN LIGNE

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Monday, June 23, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Sunday, June 22, 2008 22:13:46

Records in database: 880302

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

V:\

Scan statistics:

Files scanned: 47006

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 01:12:42

No malware has been detected. The scan area is clean.

The selected area was scanned.

je te glisse aussi un log hijackthis, au cas ou tu en aurais besoin

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:56:49, on 23/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\program files\powerstrip\pstrip.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\imapi.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Azureus\Azureus.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Julien\Bureau\Julien.exe