mon option cacher les dossiers est encore disparue

petit pain · le 21 juin 2008

ComboFix 08-06-16.5 - mickael 2008-06-21 16:14:41.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.480 [GMT 2:00]

Endroit: C:\Documents and Settings\mickael\Bureau\cf.exe

Command switches used :: C:\Documents and Settings\mickael\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

FILE ::

C:\Documents and Settings\mickael\Application Data\m\flec006.exe

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-21 to 2008-06-21 ))))))))))))))))))))))))))))))))))))

.

2008-06-18 21:39 . 2008-06-18 21:39 <REP> d-------- C:\Program Files\CCleaner

2008-06-17 23:15 . 2006-12-15 03:09 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl

2008-06-16 22:41 . 2008-06-16 22:41 <REP> d-------- C:\Program Files\xp-AntiSpy

2008-06-15 18:31 . 2008-06-17 17:24 <REP> d-------- C:\Program Files\JkDefrag

2008-06-15 18:31 . 2007-09-25 17:34 241,664 --a------ C:\WINDOWS\system32\JkDefragScreenSaver.exe

2008-06-15 18:31 . 2007-09-25 17:34 106,496 --a------ C:\WINDOWS\system32\JkDefragScreenSaver.scr

2008-06-15 17:04 . 2008-06-15 17:04 <REP> d-------- C:\Program Files\hpHosts

2008-06-13 14:13 . 2008-06-13 14:13 <REP> d-------- C:\Combo-Fix

2008-06-11 09:43 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 09:43 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

2008-06-03 21:41 . 2008-06-03 21:41 <REP> drahs---- C:\MS32DLL.dll.vbs

2008-06-03 21:41 . 2008-06-03 21:41 <REP> drahs---- C:\found.000

2008-06-03 21:41 . 2008-06-03 21:41 <REP> drahs---- C:\desktop.ini

2008-06-03 21:41 . 2008-06-03 21:41 <REP> drahs---- C:\comment.htt

2008-06-03 21:41 . 2008-06-03 21:41 <REP> drahs---- C:\adober.exe

2008-06-03 21:40 . 2008-06-03 21:40 <REP> drahs---- C:\winfile.exe

2008-06-03 21:40 . 2008-06-03 21:40 <REP> drahs---- C:\msvcr71.dll

2008-06-03 21:40 . 2008-06-03 21:40 <REP> drahs---- C:\host.exe

2008-06-03 21:40 . 2008-06-03 21:40 <REP> drahs---- C:\copy.exe

2008-06-03 21:38 . 2008-06-03 21:38 <REP> drahs---- C:\ravmon.exe

2008-06-03 21:38 . 2008-06-16 21:03 <REP> d--h----- C:\bdtmp

2008-06-03 21:37 . 2008-06-03 21:37 54,726 --a------ C:\VaccinUSB.exe

2008-06-02 18:06 . 2008-02-26 14:00 294,912 -----c--- C:\WINDOWS\system32\dllcache\msctf.dll

2008-06-01 20:53 . 2008-06-01 23:17 51,232 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-06-01 20:53 . 2008-06-01 23:17 1,676 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-06-01 19:18 . 2008-06-01 19:18 <REP> d-------- C:\Documents and Settings\mickael\Application Data\Malwarebytes

2008-06-01 19:17 . 2008-06-13 18:52 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-06-01 19:17 . 2008-06-01 19:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-06-01 19:17 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-06-01 19:17 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-06-01 17:30 . 2008-06-01 17:31 <REP> d-------- C:\WINDOWS\system32\fr-fr

2008-06-01 17:24 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-06-01 17:24 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-06-01 17:24 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll

2008-06-01 17:24 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll

2008-06-01 17:24 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll

2008-06-01 17:24 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2008-06-01 17:24 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-06-01 17:23 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll

2008-06-01 17:23 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll

2008-05-31 11:28 . 2008-05-31 11:28 <REP> d-------- C:\Program Files\Trend Micro

2008-05-30 19:41 . 2008-05-30 19:41 <REP> d-------- C:\Program Files\Avira

2008-05-30 19:41 . 2008-05-30 19:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-05-26 23:11 . 2008-05-26 23:11 <REP> d-------- C:\Program Files\AVG

2008-05-25 16:36 . 2008-05-26 23:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg8

2008-05-25 14:51 . 2008-05-25 14:51 <REP> d-------- C:\Program Files\Alwil Software

2008-05-25 12:58 . 2008-05-25 13:00 <REP> d-------- C:\Program Files\Yahoo!

2008-05-25 12:43 . 2001-08-23 17:00 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-20 15:37 --------- d-----w C:\Program Files\MSN Messenger

2008-05-25 12:28 --------- d-----w C:\Program Files\ESET

2008-05-25 11:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft

2008-05-25 10:54 --------- d-----w C:\Program Files\Fichiers communs\InstallShield

2008-05-08 20:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-03 20:33 --------- d-----w C:\Program Files\Xilisoft

2008-05-03 20:33 --------- d-----w C:\Program Files\QuickTime

2003-02-21 02:42 348,160 --sha-r C:\WINDOWS\system32\msvcr71.dll

.

((((((((((((((((((((((((((((( snapshot@2008-06-20_23.59.26.87 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-06-20 21:56:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-06-21 14:16:56 2,048 --s-a-w C:\WINDOWS\bootstat.dat

- 2008-04-14 15:52:45 272,768 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys

+ 2008-06-14 17:59:52 272,768 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 16:18 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="NvQTwk" []

"WinVNC"="C:\Program Files\UltraVNC\WinVNC.exe" [2006-07-17 16:44 364544]

"CloneCDTray"="M:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2004-10-22 00:41 57344]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-12-10 02:24 188416]

"Acrobat Assistant 8.0"="M:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]

"Adobe_ID0EYTHM"="C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 16:40 1884160]

"ooquickpdfv7"="C:\WINDOWS\system32\oopmagent.exe" [2007-12-28 16:41 90112]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-20 23:54 262401]

"SunJavaUpdateSched"="M:\Program Files\bin\jusched.exe" [2006-12-15 03:23 75520]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 12:24 248]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 16:52 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoDesktopCleanupWizard"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoStrCmpLogical"= 0 (0x0)

"NoInstrumentation"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoDesktopCleanupWizard"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.ACDV"= ACDV.dll

"VIDC.I420"= i420vfw.dll

"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"GrooveMonitor"="M:\Program Files\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"DisablePagingExecutive"=dword:00000001

"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"M:\\Program Files\\Office12\\GROOVE.EXE"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"M:\\Program Files\\emule0.47c-Xtreme5.4_2\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 sonypvl2;sonypvl2;C:\WINDOWS\system32\drivers\sonypvl2.sys [2003-07-25 15:02]

R1 DCDisk;DCDisk;C:\WINDOWS\system32\drivers\DCDisk.sys [2007-03-13 20:35]

R1 sonypvf2;sonypvf2;C:\WINDOWS\system32\drivers\sonypvf2.sys [2004-04-08 11:04]

R1 sonypvt2;sonypvt2;C:\WINDOWS\system32\drivers\sonypvt2.sys [2003-08-20 10:44]

R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\system32\drivers\stac97na.sys [2002-09-20 19:42]

R3 STAC97NH;STAC97NH;C:\WINDOWS\system32\drivers\stac97nh.sys [2002-09-20 19:43]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ed824b2-0e0e-11dd-b4f4-0020edb810a3}]

\Shell\AutoRun\command - nideiect.com

\Shell\explore\Command - nideiect.com

\Shell\open\Command - nideiect.com

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-06-21 14:17:18 C:\WINDOWS\Tasks\GlaryInitialize.job"

- M:\Program Files\Glary Utilities\initialize.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-21 16:17:33

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\WgaTray.exe

M:\Program Files\Glary Utilities\Integrator.exe

M:\Program Files\Office12\GROOVE.EXE

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-06-21 16:20:04 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-21 14:19:41

ComboFix2.txt 2008-06-21 12:39:00

ComboFix3.txt 2008-06-21 09:31:32

ComboFix4.txt 2008-06-20 22:00:49

ComboFix5.txt 2008-05-29 19:01:29

Pre-Run: 16,240,828,416 octets libres

Post-Run: 16,232,185,856 octets libres

186 --- E O F --- 2008-06-20 22:29:53

__________________________________________________
ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

Name: TrackingCookie.Bluestreak

Path: C:\Documents and Settings\mickael\Cookies\mickael@bluestreak[3].txt

Risk: Medium

Name: TrackingCookie.Doubleclick

Path: C:\Documents and Settings\mickael\Cookies\mickael@doubleclick[2].txt

Risk: Medium

Name: TrackingCookie.Webtrends

Path: C:\Documents and Settings\mickael\Cookies\mickael@m.webtrends[2].txt

Risk: Medium

Name: TrackingCookie.Smartadserver

Path: C:\Documents and Settings\mickael\Cookies\mickael@smartadserver[1].txt

Risk: Medium

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 874

18:04:26 21/06/2008

mbam-log-6-21-2008 (18-04-14).txt

Type de recherche: Examen complet (C:\|M:\|)

Eléments examinés: 169219

Temps écoulé: 33 minute(s), 1 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\234328.exe.vir (Worm.Bagle) -> No action taken.

Modifié le 21 juin 2008 par petit pain

oGu · le 23 juin 2008

Re!

Poursuivons:

DESINSTALLER COMBOFIX

Clique sur Démarrer, puis sur Exécuter

Tape combofix /u et appuie sur Entrée <-- Attention, l'espace entre le "x" et le "/" est important

Supprime ensuite à la main les dossiers suivants:

C:\QooBox

C:\Program Files\Alwil Software

C:\Combo-Fix

ELIBAGLA

Télécharge ELIBAGLA (de ZonaVirus) sur ton Bureau, en cliquant sur cette image:
Comme pour ComboFix, renomme-le avant de l'enregsitrer, avec cette appellation: mdelk.exe
Double-clique dessus pour l'ouvrir
Assure-toi que dans le menu déroulant Unidad, tu ais bien C:\
Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
Cliquez sur le bouton Explorar pour lancer l'analyse

Le fix va redémarrer ton PC s'il trouve Bagle puis créer un rapport: il se trouve ici > C:\InfoSat.txt. Poste-le dans ta prochaine réponse.

petit pain · le 23 juin 2008

bonjour oGu,

quand je double-clique sur l'icône renommé sur mon bureau, j'ai ce message:

edit: quand j'ignore, il remet la fenêtre et quand je re-ignore, il affiche une fenêtre dos mais rien ne se passe

Modifié le 23 juin 2008 par petit pain

oGu · le 23 juin 2008

Télécharge-le à nouveau ici pour voir:

http://www.zonavirus.com/datos/archivos/De...FO/EliBaglA.exe

Modifié le 23 juin 2008 par oGu

petit pain · le 23 juin 2008

ça va mieux

voici mes rapports

le scan ne va pas jusqu'au bout on dirait

oGu · le 23 juin 2008

Poste-moi le rapport présent ici:

C:\InfoSat.txt

petit pain · le 23 juin 2008

voici l'historique:

Sat May 31 10:58:39 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

Sat May 31 10:59:05 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5166

Nº Total de Ficheros: 76082

Nº de Ficheros Analizados: 7916

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat May 31 11:04:07 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad M:\

Nº Total de Directorios: 6065

Nº Total de Ficheros: 58925

Nº de Ficheros Analizados: 2184

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat May 31 11:08:17 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5166

Nº Total de Ficheros: 76082

Nº de Ficheros Analizados: 7916

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sat May 31 17:21:34 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

Sat May 31 17:21:38 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5168

Nº Total de Ficheros: 75596

Nº de Ficheros Analizados: 7916

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jun 23 21:36:42 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

Mon Jun 23 21:37:04 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4981

Nº Total de Ficheros: 76118

Nº de Ficheros Analizados: 7977

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mon Jun 23 21:41:31 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad M:\

Nº Total de Directorios: 6063

Nº Total de Ficheros: 59019

Nº de Ficheros Analizados: 2188

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

oGu · le 23 juin 2008

Merci!

Aucune trace de Bagle nulle part: mais comme c'était déjà le cas la première fois, je me méfie !

Je suggère maintenant un dernier scan MBAM + réinstallation/scan d'Antivir.

petit pain · le 24 juin 2008

Malwarebytes' Anti-Malware 1.18

Version de la base de données: 886

18:47:50 24/06/2008

mbam-log-6-24-2008 (18-47-50).txt

Type de recherche: Examen complet (C:\|M:\|)

Eléments examinés: 166517

Temps écoulé: 30 minute(s), 6 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

Processus mémoire infecté(s):