Problème MAJ automatiques

[Falkra]

Tu as un bon vieux malware, amigo. Je transfère ton sujet vers la section de désinfection, puisque tu n'as pas créé de sujet.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  
• Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepingcomputer.com/combofix/f...iliser-combofix
  

[Adailton]

ComboFix 08-06-20.4 - Matthieu 2008-06-21 21:54:32.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1615 [GMT 2:00]

Endroit: C:\Documents and Settings\Matthieu\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\Matthieu\Local Settings\Application Data\ilvjtw.dat

C:\Documents and Settings\Matthieu\Local Settings\Application Data\ilvjtw_nav.dat

C:\Documents and Settings\Matthieu\Local Settings\Application Data\ilvjtw_navps.dat

C:\WINDOWS\Downloaded Program Files\setup.inf

C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML

C:\WINDOWS\system32\kjRAKRqr.ini

C:\WINDOWS\system32\kjRAKRqr.ini2

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\Nqpqttwa.ini

C:\WINDOWS\system32\Nqpqttwa.ini2

C:\WINDOWS\system32\SCcfMUtv.ini

C:\WINDOWS\system32\SCcfMUtv.ini2

C:\WINDOWS\system32\vtUMfcCS.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-21 to 2008-06-21 ))))))))))))))))))))))))))))))))))))

.

 

2008-06-21 21:21 . 2008-06-21 21:21 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AdobeUM

2008-06-21 19:42 . 2008-06-21 19:42 <REP> d-------- C:\Program Files\Avira

2008-06-21 19:42 . 2008-06-21 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-06-20 21:14 . 2008-06-21 13:04 703 --a------ C:\WINDOWS\wininit.ini

2008-06-20 20:16 . 2008-06-21 21:31 <REP> d-------- C:\WINDOWS\system32\CatRoot2

2008-06-20 09:30 . 2008-06-20 09:35 5,423 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd

2008-06-19 21:30 . 2008-06-19 21:30 25,376 --a------ C:\WINDOWS\system32\jkkHWMET.dll

2008-06-19 19:06 . 2008-06-19 19:06 45 --a------ C:\TEST.XML

2008-06-19 19:05 . 2008-06-19 19:05 <REP> d-------- C:\Program Files\TGTSoft

2008-06-15 15:59 . 2008-06-20 09:35 2,359,350 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp

2008-06-15 15:59 . 2008-06-20 09:35 71,426 --a------ C:\WINDOWS\BricoPackUninst.cmd

2008-06-15 15:57 . 2008-06-20 09:29 <REP> d-------- C:\WINDOWS\BricoPacks

2008-06-11 08:50 . 2008-04-14 17:52 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 08:50 . 2008-04-14 17:52 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-21 20:00 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\OpenOffice.org2

2008-06-21 18:28 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\uTorrent

2008-06-18 18:42 --------- d-----w C:\Program Files\eMule

2008-06-17 11:35 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\Image Zone Express

2008-05-20 12:38 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-05-11 08:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-05-11 08:45 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\AdobeUM

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-03 17:44 --------- d-----w C:\Program Files\SopCast

2004-08-05 12:00 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe

.

 

------- Sigcheck -------

 

2007-04-25 10:26 823808 47ddad237f60729dea2b9e0e2382b58f C:\WINDOWS\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll

2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll

2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll

2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll

2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll

2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll

2008-04-23 09:19 827392 78d3d2b0be6ad3e6d82ccb115cf74310 C:\WINDOWS\$hf_mig$\KB950759-IE7\SP2QFE\wininet.dll

2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB918899$\wininet.dll

2006-06-23 13:25 668672 582953780721ac5d38f98cab229ec7b9 C:\WINDOWS\$NtUninstallKB933566$\wininet.dll

2007-04-18 14:44 669696 a3bf56a786b277e881fd9137f55f0b4b C:\WINDOWS\ie7\wininet.dll

2006-10-27 15:09 818688 7cf0b0d5d9d47585853e2a6978441f64 C:\WINDOWS\ie7updates\KB933566-IE7\wininet.dll

2007-04-25 09:40 822784 2c138ab59e2ffa06e8952ae656e443c5 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll

2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll

2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll

2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll

2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll

2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\ie7updates\KB950759-IE7\wininet.dll

2008-04-23 06:16 817152 d1524e4adae7db718e4d60889293d6d3 C:\WINDOWS\system32\wininet.dll

2008-04-23 06:16 817152 d1524e4adae7db718e4d60889293d6d3 C:\WINDOWS\system32\dllcache\wininet.dll

 

2007-06-13 15:10 979456 85f42a25228d3ed68f6a1465c8235bb9 C:\WINDOWS\explorer.exe

2004-08-05 14:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB884883$\explorer.exe

2005-04-07 20:47 1036288 0bee3b07ace3303ee57698808e1d2de3 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2007-06-13 15:10 979456 85f42a25228d3ed68f6a1465c8235bb9 C:\WINDOWS\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08C07494-D82D-4044-B4E4-108A68261EFC}]

C:\WINDOWS\system32\rqRKARjk.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2A492B0B-FC48-4F9C-8FCA-F97DF30D97FF}]

C:\WINDOWS\system32\awttqpqN.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7F665E3D-D267-46E4-91F3-4FD5738EBAC3}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C694098B-9EE0-4C5F-B2A5-FD4A2B9EF3BA}]

2008-06-19 21:30 25376 --a------ C:\WINDOWS\system32\jkkHWMET.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E0C95DD1-359B-4E13-893D-ADB968E2DB5A}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"fsc-reminder.exe"="C:\WINDOWS\reminder\fsc-reminder.exe" [ ]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

"ares"="C:\Program Files\Ares\Ares.exe" [ ]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-08-23 20:08 16050688 C:\WINDOWS\RTHDCPL.EXE]

"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-28 00:47 7573504]

"nwiz"="nwiz.exe" [2006-04-28 00:47 1519616 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-28 00:47 86016]

"Muscbrigade"="c:\Musicbrigade\Musicbrigade.exe" [ ]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{C694098B-9EE0-4C5F-B2A5-FD4A2B9EF3BA}"= C:\WINDOWS\system32\jkkHWMET.dll [2008-06-19 21:30 25376]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkHWMET]

jkkHWMET.dll 2008-06-19 21:30 25376 C:\WINDOWS\system32\jkkHWMET.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\SopCast\\SopCast.exe"=

"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Internet Explorer\\iexplore.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

 

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS []

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-21 21:59:35

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\jkkHWMET.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.bin

C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-06-21 22:02:22 - machine was rebooted [Matthieu]

ComboFix-quarantined-files.txt 2008-06-21 20:02:05

 

Pre-Run: 296,119,033,856 octets libres

Post-Run: 296,386,666,496 octets libres

 

172 --- E O F --- 2008-06-11 20:12:08

 

 

 

 

Voilà

[Falkra]

Il y a du monde, remarque, avec autant de p2p, c'est proportionnel.

Je désactive TeaTimer de Spybot, ne le réactive pas, par la suite, il est plus gênant qu'autre chose, et ne protège pas très efficacement.

 

Il est bien incrusté, ton bestiau ! Impossible à shooter par des outils classiques.

 

• Ouvre le bloc notes. Copie colle ceci dedans :
  

 

File::

C:\WINDOWS\system32\jkkHWMET.dll

 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08C07494-D82D-4044-B4E4-108A68261EFC}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2A492B0B-FC48-4F9C-8FCA-F97DF30D97FF}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7F665E3D-D267-46E4-91F3-4FD5738EBAC3}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C694098B-9EE0-4C5F-B2A5-FD4A2B9EF3BA}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkHWMET]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{C694098B-9EE0-4C5F-B2A5-FD4A2B9EF3BA}"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"fsc-reminder.exe"=-

"ares"=-

"SpybotSD TeaTimer"=-

 

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
   
  
• Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  

• Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

[*] Ajoute ensuite un nouveau rapport hijackThis, fait après tout ça.

[Adailton]

ComboFix 08-06-20.4 - Matthieu 2008-06-22 9:53:20.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1586 [GMT 2:00]

Endroit: C:\Documents and Settings\Matthieu\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Matthieu\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\WINDOWS\system32\jkkHWMET.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\jkkHWMET.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-22 to 2008-06-22 ))))))))))))))))))))))))))))))))))))

.

 

2008-06-21 21:21 . 2008-06-21 21:21 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AdobeUM

2008-06-21 19:42 . 2008-06-21 19:42 <REP> d-------- C:\Program Files\Avira

2008-06-21 19:42 . 2008-06-21 19:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-06-20 21:14 . 2008-06-21 13:04 703 --a------ C:\WINDOWS\wininit.ini

2008-06-20 20:16 . 2008-06-22 09:00 <REP> d-------- C:\WINDOWS\system32\CatRoot2

2008-06-20 09:30 . 2008-06-20 09:35 5,423 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd

2008-06-19 19:06 . 2008-06-19 19:06 45 --a------ C:\TEST.XML

2008-06-19 19:05 . 2008-06-19 19:05 <REP> d-------- C:\Program Files\TGTSoft

2008-06-15 15:59 . 2008-06-20 09:35 2,359,350 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp

2008-06-15 15:59 . 2008-06-20 09:35 71,426 --a------ C:\WINDOWS\BricoPackUninst.cmd

2008-06-15 15:57 . 2008-06-20 09:29 <REP> d-------- C:\WINDOWS\BricoPacks

2008-06-11 08:50 . 2008-04-14 17:52 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 08:50 . 2008-04-14 17:52 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-22 07:57 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\OpenOffice.org2

2008-06-21 18:28 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\uTorrent

2008-06-18 18:42 --------- d-----w C:\Program Files\eMule

2008-06-17 11:35 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\Image Zone Express

2008-05-20 12:38 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-05-11 08:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-05-11 08:45 --------- d-----w C:\Documents and Settings\Matthieu\Application Data\AdobeUM

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-03 17:44 --------- d-----w C:\Program Files\SopCast

2004-08-05 12:00 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe

.

 

------- Sigcheck -------

 

2007-04-25 10:26 823808 47ddad237f60729dea2b9e0e2382b58f C:\WINDOWS\$hf_mig$\KB933566-IE7\SP2QFE\wininet.dll

2007-06-27 16:14 824320 7201d19b81883b57d5ffe8ebb5a83e8b C:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll

2007-08-20 11:49 825344 2dd1b0f579c80562edcb8848ff7ea9f6 C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll

2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll

2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll

2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll

2008-04-23 09:19 827392 78d3d2b0be6ad3e6d82ccb115cf74310 C:\WINDOWS\$hf_mig$\KB950759-IE7\SP2QFE\wininet.dll

2004-08-05 14:00 660480 58fe94ef42e074f4cad8bf02e70e6478 C:\WINDOWS\$NtUninstallKB918899$\wininet.dll

2006-06-23 13:25 668672 582953780721ac5d38f98cab229ec7b9 C:\WINDOWS\$NtUninstallKB933566$\wininet.dll

2007-04-18 14:44 669696 a3bf56a786b277e881fd9137f55f0b4b C:\WINDOWS\ie7\wininet.dll

2006-10-27 15:09 818688 7cf0b0d5d9d47585853e2a6978441f64 C:\WINDOWS\ie7updates\KB933566-IE7\wininet.dll

2007-04-25 09:40 822784 2c138ab59e2ffa06e8952ae656e443c5 C:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll

2007-06-27 15:24 823808 2274862267d7445e7010d9af826e89c3 C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll

2007-08-20 11:59 824832 f6dfceed3a7aa4c9eeb966d3f1adc70a C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll

2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll

2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll

2008-03-01 14:58 826368 8e027981ddffa690d456fe18b37415a0 C:\WINDOWS\ie7updates\KB950759-IE7\wininet.dll

2008-04-23 06:16 817152 d1524e4adae7db718e4d60889293d6d3 C:\WINDOWS\system32\wininet.dll

2008-04-23 06:16 817152 d1524e4adae7db718e4d60889293d6d3 C:\WINDOWS\system32\dllcache\wininet.dll

 

2007-06-13 15:10 979456 85f42a25228d3ed68f6a1465c8235bb9 C:\WINDOWS\explorer.exe

2004-08-05 14:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB884883$\explorer.exe

2005-04-07 20:47 1036288 0bee3b07ace3303ee57698808e1d2de3 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2007-06-13 15:10 979456 85f42a25228d3ed68f6a1465c8235bb9 C:\WINDOWS\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((( snapshot@2008-06-21_22.01.50.42 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-06-21 19:58:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-06-22 07:57:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat

- 2008-06-21 19:34:24 64,336 ----a-w C:\WINDOWS\system32\perfc009.dat

+ 2008-06-22 07:03:32 64,336 ----a-w C:\WINDOWS\system32\perfc009.dat

- 2008-06-21 19:34:24 78,044 ----a-w C:\WINDOWS\system32\perfc00C.dat

+ 2008-06-22 07:03:32 78,044 ----a-w C:\WINDOWS\system32\perfc00C.dat

- 2008-06-21 19:34:24 407,806 ----a-w C:\WINDOWS\system32\perfh009.dat

+ 2008-06-22 07:03:32 407,806 ----a-w C:\WINDOWS\system32\perfh009.dat

- 2008-06-21 19:34:24 476,084 ----a-w C:\WINDOWS\system32\perfh00C.dat

+ 2008-06-22 07:03:32 476,084 ----a-w C:\WINDOWS\system32\perfh00C.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-08-23 20:08 16050688 C:\WINDOWS\RTHDCPL.EXE]

"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-28 00:47 7573504]

"nwiz"="nwiz.exe" [2006-04-28 00:47 1519616 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-28 00:47 86016]

"Muscbrigade"="c:\Musicbrigade\Musicbrigade.exe" [ ]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\SopCast\\SopCast.exe"=

"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Internet Explorer\\iexplore.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

 

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS []

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-22 09:57:15

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.bin

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-06-22 9:59:21 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-22 07:59:18

ComboFix2.txt 2008-06-21 20:02:23

 

Pre-Run: 296,308,813,824 octets libres

Post-Run: 296,356,909,056 octets libres

 

157 --- E O F --- 2008-06-11 20:12:08

 

 

 

 

 

Rapport Combofix

[Adailton]

Et voilà le rapport HiJackThis

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:02:41, on 22/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\Matthieu\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Facebo...toUploader5.cab

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 6459 bytes

[Falkra]

Impeccable.

 

Relance hijackThis, coche cette ligne et fais "fix checked", en bas à gauche :

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

 

Tu ne devrais plus avoir de symptômes infectieux, en principe, confirme-le moi.

[Adailton]

J'ai fais ce que tu m'as dit de faire, je n'ai plus d'alerte cocernant antivir

 

Il reste cependant deux ptits problèmes; mon ordi ne se met plus en veille au bout des 5 minutes que je lui accorde et les MAJ autos ne sont toujours pas activées

[Adailton]

J'ai résolu le premier problème

 

J'ai besoin de vous pour le second ...

[Falkra]

Ok, on va se pencher là dessus alors !

 

On va déjà nettoyer un peu.

 

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Certaines des saletés que tu avais s'attrapent par le navigateur, je te conseille d'utiliser StripMyRights pour le protéger, cela retire les droits administrateur au navigateur, et les malwares en ont besoin pour t'infecter. Je te recommande la lecture de ce tuto d'oGu : Tuto StripMyRights.

 

Pour les mises à jour automatiques, essaie ça :

 

Télécharge Dial-a-fix-v0.60.0.24 => http://djlizard.net/software/Dial-a-fix-v0.60.0.24.zip

Enregistre-le sur ton Bureau.

Décompresse le puis double-clique sur le dossier " Dial-a-fix" qui vient d'être créé puis sur le fichier "Dial-a-fix.exe".

 

Dans la fenêtre principale, coche Fix windows update et les trois croix en dessous.

Clique ensuite sur "GO" et laisse le logiciel travailler.

Chaque action en cours est soulignée et une fois terminée elle se décoche automatiquement.

Clique enfin sur le bouton "Flush SoftwareDistribution"

 

Une fois la réparation terminée, ferme la fenêtre et fais redémarrer ton ordinateur.

 

Relance enfin Windows Update. Les mises à jours devraient s'installer.

[Adailton]

Dans flush software ...., je dis oui ?

 

Et concernant stripmyrights, j'ai juste eu une fenêtre où je pouvais seulement cliquer sur "ok", le fichier s'est donc installé ?

C'est tout ce qu'il faut faire ?

 

 

Et enfin comment redémarrer windows update stp

 

Merci d'avance